L’età media degli hacker arrestati negli Stati Uniti è precipitata a 19 anni, rispetto ai 37 anni per tutti gli altri crimini, secondo il Supervisory Special Agent William McKeen dell’FBI (maggio 2024), e il 61% dei giovani coinvolti nel cybercrime ha iniziato a sperimentare con tecnologie prima dei 16 anni secondo la UK National Crime Agency.

Questa drammatica inversione generazionale non è un semplice dato statistico, ma il sintomo di una trasformazione radicale nel panorama della sicurezza informatica. I crimini informatici sempre più sofisticati vengono perpetrati da individui “sempre più giovani”, una tendenza definita “terrificante” da McKeen alla RSA Conference 2024.

Il fenomeno si spiega con la convergenza di tre fattori: il crollo delle barriere tecniche all’ingresso nel cybercrime, l’esplosione di strumenti pronti all’uso accessibili su piattaforme mainstream come Telegram (che ha raggiunto 1 miliardo di utenti attivi mensili nel marzo 2025), e motivazioni psicologiche profondamente radicate nell’ego, nel riconoscimento tra pari e nella ricerca di identità. Questo rapporto analizza il decennio 2015-2025, durante il quale Cybersecurity Ventures ha previsto che il cybercrime potrebbe costare 10,5 trilioni di dollari annui entro il 2025, e l’hacktivismo si è trasformato da movimento anti-establishment in strumento, sempre più spesso, di cyber warfare statale.

La psicologia dei giovani hacker: ego, sfida intellettuale e appartenenza

La ricerca accademica degli ultimi dieci anni ha demolito gli stereotipi romantici sull’hacker solitario spinto dalla pura curiosità intellettuale. Lo studio di Hani et al. pubblicato su Frontiers in Computer Science nell’aprile 2024 è riuscito con accuratezza a predire i tipi di hacker utilizzando i Big Five personality traits, identificando quattro temi motivazionali dominanti: la compulsione ad hackerare, la curiosità, il controllo e l’attrazione per il potere, e il riconoscimento tra pari e l’appartenenza al gruppo. La teoria del flusso psicologico (flow state) di Csikszentmihalyi spiega come gli hacker sperimentino stati di concentrazione intensa e distorsione temporale durante gli attacchi, creando un’esperienza intrinsecamente gratificante che facilita l’escalation verso comportamenti criminali man mano che le competenze si sviluppano.

I black hat hacker presentano profili psicologici distintamente diversi dagli ethical hacker. La ricerca ha identificato nell’apertura all’esperienza il tratto dominante dei black hat, caratterizzati dalla volontà di affrontare sfide creative e spinti da fama, guadagno finanziario, vendetta e auto-gratificazione.

Al contrario, i white hat mostrano livelli più elevati di gradevolezza e coscienziosità. I gray hat, che oscillano tra comportamenti etici e malevoli, presentano come tratto dominante il nevroticismo, spesso essendo ex-black hat in fase di transizione. Questa distinzione non è meramente accademica: lo studio coreano del 2023 che ha analizzato i crimini di hacking attraverso interviste con specialisti di polizia ha rivelato che il 35,71% dei crimini di hacking legati all’integrità erano motivati dal “divertimento”, superando qualsiasi altra motivazione.

Il professor Thomas J. Holt della Michigan State University ha documentato attraverso ricerche pluriennali pubblicate su British Journal of Criminology e Crime and Delinquency come i mercati del cybercrime operino con strutture economiche reali e incentivi chiari.

La sua analisi dei forum russi che facilitano la distribuzione di malware ha rivelato dinamiche sociali che strutturano le relazioni acquirente-venditore e il trasferimento di conoscenze tra hacker esperti e novizi. Il software malevolo è diventato così sofisticato che gli individui ora vendono vari programmi e servizi attraverso mercati elettronici dove i dati possono essere comprati e venduti con la stessa facilità di prodotti legittimi. Questa professionalizzazione ha creato un fenomeno economico reale con impatto e conseguenze economiche tangibili, come sottolineato dallo stesso Holt.

La ricerca di riconoscimento tra pari rappresenta un motore motivazionale particolarmente potente per i giovani. Gli studi dimostrano consistentemente che gli hacker “si associano con altri individui che si impegnano anch’essi in comportamenti di hacking sotto forma di associazioni puramente elettroniche, come sessioni di chat online, o più intimamente attraverso club di hacking come Cult of the Dead Cow e Legion of Doom”.

Le convention come DefCon forniscono luoghi dove gli hacker “condividono le loro competenze, idee e informazioni tecniche” per guadagnare status e riconoscimento. La ricerca di Hani et al. ha identificato che gli individui sviluppano identità di hacker attraverso il “desiderio di esprimere se stessi”, “sperimentare autonomia/libertà” e “sviluppare compagnia tra pari”, servendo così funzioni di costruzione identitaria particolarmente rilevanti durante l’adolescenza.

La meta-analisi del 2023 che ha esaminato 48 articoli e 903 effect sizes sul cybercrime giovanile ha confermato che i fattori legati ai pari sono risultati importanti per tutti e tre i tipi di cybercrime studiati (cyberstalking, sexting, hacking). Per il cyberstalking, la precedente perpetrazione e vittimizzazione online e offline sono risultati fattori di rischio significativi. I tratti oscuri della personalità si sono rivelati significativi per cyberstalking e sexting, mentre l’elevata preoccupazione per il computer è emersa come fattore di rischio per cyberstalking e hacking. Lo studio ha trovato che la pressione dei pari per il sexting e i pari devianti per cyberstalking e hacking giocano ruoli cruciali nell’iniziazione e continuazione dei comportamenti criminali online.

Black hat versus hacktivism: motivazioni divergenti, stesse competenze tecniche

La distinzione tra black hat hacker e hacktivisti non risiede nelle capacità tecniche ma nelle motivazioni fondamentali e nelle strutture comunitarie che li supportano.

Lo studio di Romagna del 2023 pubblicato su Information, Communication & Society, basato su interviste con 28 hacktivisti auto-identificati e analisi di database di defacement, ha identificato le motivazioni primarie degli hacktivisti: esporre la cattiva condotta politica/delle élite (18 su 28 rispondenti), esporre i pedofili (4 su 21 coinvolti in #OpPedo e #OpPedoHunt), difesa della giustizia sociale, trasparenza e responsabilità, e resistenza alla censura. Un partecipante alla ricerca ha dichiarato: “Devo sottolineare che ho sempre avuto una bussola moralmente giusta e questo argomento ha toccato un nervo ed è stata la prima operazione ‘hactivista’ a cui mi sono sentito veramente impegnato”.

Gli hacktivisti mostrano “identità di gruppo politicizzate, convinzioni morali più forti, rabbia, credenze di efficacia di gruppo e partecipativa”, elementi che li distinguono nettamente dai black hat focalizzati sulla sofisticazione tecnica per il profitto. Gli hacktivisti cercano visibilità attraverso la copertura mediatica per amplificare i loro messaggi politici, mentre i black hat preferiscono l’anonimato per proteggere le loro operazioni lucrative. Gli attacchi hacktivisti servono spesso come “protesta simbolica” per sollevare consapevolezza su questioni percepite come ingiustizie, mentre gli attacchi black hat perseguono guadagni tangibili attraverso furto di dati, ransomware e vendita di informazioni rubate.

La professoressa Gabriella Coleman di Harvard, con oltre 7.306 citazioni e riconosciuta come la principale autorità sulle culture hacker e Anonymous, ha teorizzato nel suo libro “Hacker, Hoaxer, Whistleblower, Spy: The Many Faces of Anonymous” (2014) il concetto di “generi di hacker” che contestano l’etica hacker singolare.

Coleman identifica genealogie storiche distinte da cui emergono gli hacker, ciascuna con lezioni etiche uniche: gli hacker del Free/Open Source Software, i collettivi hacktivisti come Anonymous, i ricercatori di sicurezza white hat, ognuno con il proprio “mestiere e astuzia dell’hacking”. La sua descrizione di Anonymous attraverso il motivo del trickster archetipico – “spesso non essendo un personaggio molto pulito e rispettabile, ma forse vitale per il rinnovamento sociale” – cattura l’ambiguità morale che caratterizza l’hacktivismo contemporaneo.

Tuttavia, l’evoluzione 2015-2025 ha visto una trasformazione preoccupante: l’hacktivismo tradizionale anti-establishment è stato cooptato da stati nazionali che mascherano operazioni di cyber warfare come movimenti grassroots. La ricerca di Check Point del 2025 utilizzando modellazione tematica e analisi stilometrica ha confermato connessioni tra APT44 (gruppo russo di minacce avanzate persistenti) e multiple persone hacktiviste apparentemente indipendenti, inclusi Cyber Army of Russia Reborn, Solntsepek e XakNet. L’Orange Cyberdefense Security Navigator 2025 ha documentato tre ere distinte dell’hacktivism: l’Era dell’Utopia Digitale (costruire un internet migliore), l’Era Anti-Establishment (esporre difetti attraverso Anonymous e LulzSec), e l’attuale Era Allineata agli Stati, dove i gruppi servono agende statali mantenendo la negabilità plausibile.

L’equazione socio-economica: disoccupazione giovanile e democratizzazione del cybercrime

Lo studio monumentale della Michigan State University su oltre 66.000 giovani in più di 30 paesi ha identificato tre sottogruppi comportamentali distinti tra gli hacker giovanili.

Gli “hacker opportunistici” combinano basso autocontrollo con accesso tecnologico e mostrano hacking di breve durata; gli “hacker influenzati dai pari” sono pesantemente influenzati da gruppi di pari negativi; gli “hacker isolati/traumatizzati” hanno subito vittimizzazione, abuso o isolamento sociale e trovano conforto nelle comunità online. I fattori di rischio identificati includono basso autocontrollo (indipendentemente dalla probabilità di rilevamento), maggiore accesso tecnologico in ambienti privati (dispositivi propri), coinvolgimento nella pirateria, tempo trascorso con pari, attaccamenti e supervisione genitoriale più deboli. Significativamente, lo status socio-economico è risultato associato a rischio di rilevamento ridotto a causa del maggiore accesso tecnologico.

La correlazione tra disoccupazione giovanile e cybercrime opera attraverso tre meccanismi principali: necessità economica, tempo libero non occupato e mancanza di identificazione con membri conformi della società. L’Office of Justice Programs documenta che i giovani delinquenti costituiscono “gli elementi più marginali del pool di occupazione giovanile” e gli studi mostrano che le opportunità di impiego influenzano i tassi di criminalità giovanile.

L’esempio della Nigeria è paradigmatico: i “Yahoo Boys” – laureati ben istruiti con competenze digitali – sono motivati dalla disoccupazione (salita al 41% nel 2023 dal 14,2% del 2016), corruzione e mancanza di leggi sul cybercrime, secondo la ricerca pubblicata su Nature nel 2023. Il paradosso identificato dalla ricerca cross-nazionale è che sia la povertà che la prosperità possono guidare il cybercrime a seconda del contesto: nei paesi a basso reddito, il cybercrime origina nelle aree più sviluppate con migliore infrastruttura internet, mentre nei paesi ad alto reddito è associato a istruzione e reddito più elevati ma anche a maggiore disuguaglianza.

L’acronimo MEECES sviluppato dall’Australian Institute of Criminology sintetizza i motivatori primari: Money (guadagno monetario, profitti da ransomware), Ego (sfida intellettuale, auto-espressione, riconoscimento tra pari), Entertainment (frivolezza giovanile, malizia, curiosità), Cause (attaccare il “sistema”, hacktivismo), Entrance to social groups (senso di appartenenza nei forum di hacking), e Status (fama, notorietà, infamia nelle comunità underground). Il moderno spostamento 2020-2025 ha visto l’ego emergere come driver primario per i giovani hacker secondo la National Crime Agency britannica, con il “senso di appartenenza attraverso i forum di hacking” e il “desiderio di dimostrare se stessi al gruppo” che superano il guadagno finanziario come motivazioni iniziali. Il guadagno finanziario diventa spesso secondario, amplificando l’infamia piuttosto che essere il fine ultimo.

La falsa percezione di anonimato gioca un ruolo cruciale. I giovani hacker operano in spazi online dove l’applicazione della legge è meno visibile rispetto agli spazi fisici, creando un’illusione di impunità. Questa percezione è rafforzata dal fatto che solo il 4-5% degli hacker viene solitamente arrestato, secondo le stime dell’industria. I social media e la cultura popolare hanno inoltre glamourizzato l’immagine dell’hacker, con film, serie TV e rappresentazioni mediatiche che spesso ritraggono gli hacker come figure antieroiche o geniali ribelli piuttosto che come criminali che causano danni reali. Questa romanticizzazione, combinata con l’assenza di educazione etica integrata nei percorsi di apprendimento informali, crea hackers che sanno “come” fare qualcosa ma non imparano mai “dovrei farlo?”.

L’evoluzione 2015-2025: dalla sottocultura underground all’economia criminale da trilioni

Il decennio 2015-2025 ha testimoniato trasformazioni sistemiche che hanno ridefinito il panorama del cybercrime. Il periodo 2015-2017 ha gettato le fondamenta, con Anonymous che dichiara cyber guerra all’ISIS dopo gli attacchi di Parigi del 2015 (rivendicando la segnalazione di circa 20.000 account Twitter), il breach di Hacking Team che espone strumenti di sorveglianza venduti a governi oppressivi, e la botnet Mirai del 2016 che compromette centinaia di migliaia di dispositivi IoT dimostrando nuove superfici di attacco. WannaCry nel maggio 2017 colpisce oltre 150 paesi secondo il Department of Justice statunitense, marcando l’accelerazione del passaggio da hacker individuali a imprese organizzate e ben finanziate. Le motivazioni dell’hacking transizionano dai diritti di vanteria al guadagno finanziario, spionaggio e attivismo politico.

L’era della professionalizzazione 2018-2020 vede l’ascesa dei modelli di business Ransomware-as-a-Service (RaaS). La pandemia COVID-19 del 2020 crea nuovi vettori di attacco e accelera la trasformazione digitale, con un aumento significativo degli attacchi ransomware secondo Harvard Business Review.

Il cybercrime diventa sempre più sofisticato con attacchi guidati dall’intelligenza artificiale. Il 2021-2023 segna l’emergenza dell’hacktivismo sponsorizzato dagli stati: l’invasione russa dell’Ucraina nel marzo 2022 innesca una mobilitazione hacktivista senza precedenti, con gruppi pro-russi che rivendicano oltre 6.000 attacchi DDoS e la formazione dell’IT Army of Ukraine e gruppi contrapposti. Il takedown di Hydra Market nel 2022 (con 5,2 miliardi di dollari di transazioni in criptovaluta dal 2015 secondo il Department of Justice) spinge i cybercriminali su Telegram, mentre il takedown di Genesis Market nel 2023 vede i gruppi riorganizzarsi rapidamente su piattaforme mainstream.

Il panorama attuale 2024-2025 è caratterizzato da collaborazione intensificata tra gruppi hacktivisti, notevole affidamento sul ransomware per operazioni distruttive, e nuovi livelli di sofisticazione. Kaspersky ha rilevato una media di 467.000 file malevoli al giorno nel 2024, un aumento del 14% rispetto ai 411.000 del 2023 secondo i loro Security Bulletin ufficiali. Il Verizon Data Breach Investigations Report 2025 documenta 12.195 breach confermati da 22.052 incidenti di sicurezza in 139 paesi, con il coinvolgimento di terze parti raddoppiato al 30% dal 15% del 2024, lo sfruttamento di vulnerabilità aumentato del 34% (ora 20% dei breach), e il ransomware presente nel 44% di tutti i breach, in aumento dal 32% del 2024.

La migrazione delle piattaforme ha trasformato radicalmente l’ecosistema criminale. I tradizionali forum del dark web sono stati sostituiti da Telegram, Discord e Signal, con il cybercrime che ora “si nasconde in bella vista” tra 1 miliardo di utenti attivi mensili di Telegram (marzo 2025). Il 2022 vede l’ascesa di Telegram dopo il collasso di Hydra, con canali marchiati Hydra che appaiono “entro settimane” e bot Telegram che automatizzano le vendite replicando l’infrastruttura del mercato. SOCRadar ha identificato gruppi chiave monitorati nel 2025 che includono NoName057(16) pro-russo con oltre 6.000 attacchi rivendicati, RipperSec pro-palestinese con 5.100+ abbonati, Moon Cloud con 20.000+ membri e mercati di stealer logs come Observer Cloud e BidenCash con monitoraggio automatizzato dei dati delle carte.

Discord è emerso come territorio di reclutamento per Scattered Spider, i cui membri avevano 15-20 anni durante i primi attacchi. La community gaming fornisce il crossover critico: “Molte persone nella sicurezza erano gamer che volevano capire come imbrogliare”, secondo Intel 471. Dozzine di community sono state tracciate mentre discutono crimini e tecniche di hacking, con messaggistica anonima e distanza dai siti web principali che attraggono cybercriminali di basso-medio livello. Nonostante l’arresto di Pavel Durov nel settembre 2024 e i cambiamenti di policy abbiano spinto l’esplorazione di alternative (Signal, Matrix, Tox, Session, Simplex, Jabber), Telegram rimane la piattaforma più popolare.

Il crollo delle barriere tecniche: quando l’hacking diventa accessibile

Le barriere tecniche all’ingresso nel cybercrime si sono abbassate drasticamente negli ultimi anni. Questo è supportato dal fatto che il 61% degli hacker inizia prima dei 16 anni secondo la UK National Crime Agency, con l’accesso a internet quasi universale e le risorse di apprendimento “a pochi click di distanza”. Le conversazioni essenziali sull’etica e le conseguenze sono state lasciate indietro mentre la conoscenza tecnica è diventata immediatamente disponibile. I servizi DDoS-for-hire sono ampiamente disponibili, gli strumenti DDoS crowdsourced richiedono competenza tecnica minima, i framework di hacking preconfigurati come Metasploit sono accessibili, e oltre 4.000 strumenti di hacking sono disponibili nelle piattaforme di formazione ethical hacking secondo EC-Council CEH v13.

L’esplosione delle risorse di apprendimento gratuito ha democratizzato la conoscenza dell’hacking in modi senza precedenti. YouTube offre tutorial illimitati dalla ricognizione allo sfruttamento; Udemy fornisce corsi gratuiti e a pagamento di ethical hacking; Coursera offre corsi di livello universitario da Maryland, IBM, ISC2; Great Learning Academy fornisce corsi gratuiti con certificati; Hack The Box vanta una community di oltre 1,7 milioni di membri (2025) con laboratori settimanali e sfide gamificate; TryHackMe offre lezioni interattive adatte ai principianti; Refonte Learning fornisce corsi guidati da esperti.

Le metodologie di apprendimento includono microlearning (moduli bite-sized come scansione Nmap un giorno, SQL injection il successivo), gamification (sfide CTF, competizioni “Hacker del Mese”), disponibilità 24/7 con avanzamento auto-guidato, laboratori virtuali con target, reti e strumenti di attacco preconfigurati, e scenari del mondo reale con impegni di mock hacking e sfide CTF di 4 ore.

Il problema critico è che le competenze tecniche sono acquisite senza responsabilità o consapevolezza delle conseguenze. L’etica e i confini legali non sono integrati nell’apprendimento informale, risultando in competenze tecniche senza framework etico. L’evoluzione dell’ecosistema degli strumenti dal 2015 al 2025 è stata drammatica: il 2015-2020 vedeva Kali Linux diventare piattaforma standard con strumenti specializzati che richiedevano setup e configurazione, e i forum del dark web come canale di distribuzione primario. Il 2020-2025 ha portato deployment one-click dell’infrastruttura di attacco, app mobile per penetration testing, piattaforme di hacking basate su browser, strumenti di attacco potenziati dall’AI (scansione automatizzata delle vulnerabilità, generazione di exploit), con “strumenti di livello professionale” nelle mani di amatori con “esperienza zero” secondo Intercede.

Il paradosso della sofisticazione è che individui meno qualificati sono più incauti, non comprendono l’impatto, prendono di mira organizzazioni più grandi, sono più propensi a essere catturati, e selezionano i target guidati dall’ego. Simultaneamente, strumenti più potenti includono exploit potenziati dall’AI, ricognizione automatizzata, malware sofisticato (prontamente disponibile), Ransomware-as-a-Service e tecniche di amplificazione DDoS. Il risultato è che “mentre gli attaccanti diventano più giovani e meno esperti, i loro target diventano più grandi e le conseguenze più severe” secondo Intercede. Le stime indicano che il cybercrime potrebbe costare tra 10,5 trilioni di dollari (previsione Cybersecurity Ventures per il 2025, fatta nel 2020) e proiezioni di 23 trilioni di dollari entro il 2027 secondo alcune analisi di società di consulenza private.

Casi documentati: dai teenager alle operazioni da centinaia di milioni

I casi documentati attraverso atti giudiziari, comunicati stampa del DOJ e reporting investigativo rivelano pattern preoccupanti. Marcus Hutchins, noto come MalwareTech, creò e distribuì il trojan bancario Kronos tra il 2012 e il 2015 quando aveva circa 18-20 anni, ma guadagnò fama mondiale nel maggio 2017 fermando l’attacco ransomware WannaCry registrando il dominio kill switch.

Arrestato dall’FBI a Las Vegas nell’agosto 2017 dopo la conferenza DEF CON quando aveva 23 anni, Hutchins si dichiarò colpevole delle accuse relative a Kronos ma fu condannato nel luglio 2019 al tempo già scontato più un anno di supervisione. Il giudice accreditò la sua riabilitazione e i contributi alla cybersecurity per fermare WannaCry, evitandogli ulteriore carcere. Il caso Hutchins illustra sia il potenziale distruttivo del talento giovanile sia la possibilità di redenzione attraverso la transizione al lavoro di sicurezza legittimo.

Arion Kurtaj rappresenta un caso più oscuro. Membro centrale del gruppo LAPSUS$ tra i 16 e 18 anni (2021-2022), Kurtaj colpì Rockstar Games (leak di GTA 6), Uber, Nvidia, Microsoft, Samsung, T-Mobile, Okta, Revolut e BT/EE.

Nel settembre 2022, mentre era in libertà su cauzione della polizia con il laptop confiscato, hackerò Rockstar Games usando solo un Amazon Fire Stick, una TV d’albergo e un telefono cellulare, trapelando 90 clip di filmati inediti di GTA 6. Arrestato per la prima volta a gennaio 2022 all’età di 16 anni, arrestato nuovamente a marzo 2022, e arrestato per la terza volta a settembre 2022, Kurtaj fu condannato il 21 dicembre 2023 (ritenuto non idoneo a sostenere il processo a causa dell’autismo grave) a detenzione ospedaliera sicura a tempo indeterminato. Il giudice stabilì che rimaneva “ad alto rischio” a causa delle competenze e del desiderio dichiarato di continuare il cybercrime, avendo esibito violenza in custodia.

Thalha Jubair, noto come “Amtrak” e una dozzina di altri alias, rappresenta l’escalation più seria. All’età di 15-19 anni (2021-2025), Jubair fu membro centrale sia di LAPSUS$ che leader delle operazioni Scattered Spider, condusse attività di SIM-swapping precedenti, gestì il canale Telegram Star Chat per servizi di SIM-swapping, violò T-Mobile oltre 70 volte, fu coinvolto nella campagna di phishing SMS di massa 0ktapus, e guidò gli attacchi ransomware contro MGM Resorts e Caesars Entertainment nel settembre 2023 (Caesars pagò 15 milioni di dollari di riscatto secondo documenti FBI) e l’attacco informatico di Transport for London nell’agosto 2024.

Arrestato nel luglio 2025 nel Regno Unito all’età di 19 anni, Jubair affronta l’estradizione negli Stati Uniti con accuse per oltre 120 intrusioni di rete informatica che colpiscono 47 entità statunitensi. I pubblici ministeri statunitensi hanno sequestrato 36 milioni di dollari in criptovaluta dai server controllati da Jubair. Le vittime hanno pagato almeno 115 milioni di dollari in pagamenti di riscatto secondo il Department of Justice. Se condannato, affronta un massimo di 95 anni di prigione.

Graham Ivan Clark orchestrò all’età di 17 anni il massiccio hijacking degli account Twitter del 15 luglio 2020. Clark compromisse 130 account di alto profilo tra cui Barack Obama, Joe Biden, Elon Musk, Bill Gates, Jeff Bezos, Kim Kardashian, Kanye West, Apple e Uber, utilizzando ingegneria sociale contro i dipendenti Twitter fingendosi l’Help Desk IT.

Pubblicò tweet di truffa Bitcoin “raddoppia i tuoi soldi” e raccolse circa 118.000 dollari in valore di Bitcoin da oltre 415 transazioni secondo il New York State Department of Financial Services Investigation Report, vendendo anche l’accesso a handle Twitter desiderabili sul forum OGUsers. Arrestato il 31 luglio 2020 a casa sua a Northdale, Florida, affrontando 30 accuse penali, Clark si dichiarò colpevole nel marzo 2021 sotto il Florida Youthful Offender Act e fu condannato a 3 anni di prigione più 3 anni di libertà vigilata. Fu rilasciato il 16 febbraio 2023.

Kane Gamble dell’operazione Crackas With Attitude commise le sue offese all’età di 15 anni (2015-2016). Gamble hackerò gli account email AOL del direttore della CIA John Brennan, del direttore dell’Intelligence Nazionale James Clapper, del segretario del DHS Jeh Johnson (hackerò anche la TV di casa, chiamando la moglie dicendo “Ti sto spaventando?”), del vice direttore dell’FBI Mark Giuliano, della consigliera per la sicurezza nazionale vicepresidente di Obama Avril Haines, e del consigliere senior di Obama per scienza e tecnologia John Holdren.

Utilizzò ingegneria sociale chiamando Verizon e AOL fingendosi funzionari per reimpostare le password, accedendo a documenti “estremamente sensibili” sulle operazioni militari in Iraq e Afghanistan, pubblicando alcuni dati su WikiLeaks, accedendo alla rete del Dipartimento di Giustizia degli Stati Uniti e all’FBI Law Enforcement Enterprise Portal, e trapelando dettagli di 20.000 agenti FBI e 9.000 dipendenti DHS. Arrestato a febbraio 2016, si dichiarò colpevole nell’ottobre 2017 e fu condannato nell’aprile 2018 a 2 anni di detenzione giovanile. Dopo il rilascio nel 2019, Gamble partecipò a programmi bug bounty per T-Mobile (5.000 dollari di ricompensa massima), Ministry of Defence e AT&T, scoprendo vulnerabilità nell’app di messaggistica crittografata Wire e in Sitecore (CVE assegnati).

Anonymous e LulzSec: l’ascesa e la caduta dell’hacktivismo idealista

LulzSec rappresenta un capitolo definente nell’evoluzione dell’hacktivismo. Formato nel maggio 2011 come offshoot di Anonymous, LulzSec operò per soli 50 giorni ma lasciò un impatto duraturo, inizialmente operando sotto la filosofia “hacking for the lulz” (intrattenimento).

I sei-sette membri centrali includevano Hector Monsegur (Sabu), leader 29enne disoccupato dal Lower East Side di New York che si trasformò in informatore dell’FBI nell’agosto 2011 dopo l’arresto a giugno 2011, aiutando a identificare 8 co-cospiratori in 7 mesi e ricevendo tempo già scontato più un anno di supervisione nel maggio 2014. Jake Davis (Topiary), 18 anni all’arresto, gestiva le relazioni con i media e gestiva l’account Twitter di LulzSec, precedentemente con Anonymous e noto per aver hackerato la Westboro Baptist Church durante un’intervista in diretta, arrestato il 27 luglio 2011 e condannato nel marzo 2012.

Gli attacchi principali di LulzSec dimostrarono vulnerabilità di sicurezza aziendale su larga scala. Fox.com fu violato trapelando 73.000 dettagli di concorrenti di X Factor; PBS fu attaccato in rappresaglia per una copertura sfavorevole su “Frontline”; Sony Pictures Entertainment subì il furto di oltre 100.000 record utente; Bethesda Softworks perse 200.000+ record utente; i sistemi del Senato degli Stati Uniti furono compromessi; il sito web della CIA fu messo offline; e varie agenzie governative furono violate.

Cody Andrew Kretsinger (Recursion), 25 anni alla condanna, utilizzò SQL injection contro Sony Pictures (fine maggio-inizio giugno 2011), rubando nomi, indirizzi, numeri di telefono, email di decine di migliaia di clienti. Si dichiarò colpevole nell’aprile 2012 a cospirazione e compromissione non autorizzata di computer protetto, ricevendo 1 anno e 1 giorno di prigione federale più 1 anno di detenzione domiciliare più 1.000 ore di servizio comunitario più 605.663 dollari di restituzione nel 2013.

Anonymous rappresenta un fenomeno più complesso e duraturo. Originato nel 2003 sulla imageboard 4chan, Anonymous opera come collettivo decentralizzato e senza leader con filosofia di libertà internet, anti-censura e resistenza all’oppressione governativa. Le operazioni notevoli 2015-2025 includono Operation KKK (ottobre-novembre 2015) rivendicando di aver esposto circa 1.000 membri del KKK attraverso release su Pastebin; supporto alle proteste George Floyd del maggio-giugno 2020 minacciando il Dipartimento di Polizia di Minneapolis e trapelando documenti che esponevano corruzione poliziesca; e la “cyber guerra” dichiarata alla Russia nel febbraio 2022 dopo l’invasione dell’Ucraina, rivendicando responsabilità per attacchi su agenzie governative russe, media statali e società, disabilitando siti web e trapelando dati da entità russe.

L’evoluzione di Anonymous dal 2022 al 2025 rivela frammentazione significativa. L’aprile 2025 ha visto il rilascio di 10 terabyte di dati presumibilmente da insider politici russi e governo; Anonymous VNLBN ha attaccato sistemi governativi vietnamiti, mirando anche a Francia, Israele e Stati Uniti; The Anonymous 71 (Bangladesh) ha deturpato il sito web di una compagnia aerospaziale indiana; Anonymous Italia ha hackerato due siti web russi; la campagna #OpIsrael di giugno ha visto gruppi multipli (Mr Hamza, Arabian Ghosts, Sylhet Gang) mirare all’infrastruttura israeliana.

Lo status 2025 mostra Anonymous altamente frammentato in fazioni regionali (Anonymous VNLBN in Vietnam, The Anonymous 71 in Bangladesh, Anonymous Italia, ecc.) con operazioni più localizzate e simboliche piuttosto che attacchi su larga scala all’infrastruttura. Il movimento continua ma in formato di gruppo splinter decentralizzato, meno coordinato del picco 2010-2015.

L’hacktivismo sponsorizzato dagli stati: quando i governi indossano la maschera di Guy Fawkes

La trasformazione più preoccupante del 2022-2025 è la cooptazione dell’hacktivismo da parte di attori statali. La ricerca di Orange Cyberdefense che documenta NoName057(16), il gruppo pro-russo più attivo, ha tracciato oltre 6.600 target unici dall’agosto 2022 attraverso oltre 3.200 messaggi in 2 anni, con 42 paesi colpiti e il 96% in Europa. I target primari includevano Ucraina, Polonia, Repubblica Ceca, Lituania, Germania, Francia, Finlandia e Moldavia. Le motivazioni dichiarate erano rappresaglia per russofobia, supporto occidentale all’Ucraina e sanzioni. Le tattiche includevano attacchi DDoS su servizi essenziali (finanza, trasporto, istruzione, governo), interferenza elettorale mirando ai sistemi di voto in Francia, Regno Unito, Finlandia, Belgio e Austria, e attacchi innescati da eventi allineati con festività nazionali, conferenze internazionali e scandali politici.

La ricerca pubblicata nel 2025 utilizzando modellazione tematica di migliaia di messaggi da dozzine di gruppi e analisi stilometrica ha rivelato autorialità comune tra gruppi hacktivisti apparentemente indipendenti. Le connessioni confermate da ricercatori come EclecticIQ mostrano APT44 (il gruppo russo Sandworm identificato da Mandiant/Google Cloud nell’aprile 2024) che opera multiple persone (Cyber Army of Russia Reborn, Solntsepek, XakNet); ulteriori sospetti includono JustEvil e NoName057 che mostrano similarità stilistica; un cluster iraniano con gruppi che mirano all’Albania mostra coordinamento; i takeover di account rivelano improvvisi cambi di stile di scrittura indicando account acquistati/riutilizzati.

L’allineamento geopolitico è evidente: i gruppi pro-russi si allineano con le narrative del Cremlino, i gruppi pro-palestinesi spesso hanno legami iraniani, il sostegno statale consente “meno paura delle autorità e della persecuzione”, e i paesi NATO e UE sono target primari (96% degli attacchi) mentre gli Stati Uniti sono notevolmente assenti dai target hacktivisti russi (evitamento intenzionale).

Il caso di OpIsrael illustra la longevità e l’evoluzione delle campagne hacktiviste. Originata nel 2013 da Anonymous alla vigilia del Giorno della Memoria dell’Olocausto, OpIsrael diventa un evento annuale ogni 7 aprile. Nel 2019, oltre 120 siti web furono violati con backdoor installate. La rivitalizzazione 2023-2025 nel mezzo del conflitto di Gaza ha visto la Holy League coordinare DDoS, deturpamenti e data leak, con Arabian Ghosts, Mr Hamza e Sylhet Gang che coordinavano attacchi, oltre 50 gruppi hacktivisti taggati in chiamate coordinate, e target che includevano Israele, Stati Uniti e alleati del Regno Unito. OpJerusalem coincide con il Giorno di Al-Quds dell’Iran (28 marzo), rivelando connessioni geopolitiche più profonde.

L’evoluzione delle tattiche hacktiviste dal 2015 al 2025 mostra sofisticazione crescente. I metodi tradizionali 2015-2018 includevano deturpamenti di siti web, attacchi DDoS (scala più piccola), data leak e azioni simboliche. L’aumento della sofisticazione 2019-2022 ha introdotto attacchi alla supply chain, integrazione ransomware, targeting dell’infrastruttura critica e sistemi Operational Technology (OT). La guerra ibrida 2023-2025 presenta attacchi cognitivi (campagne di disinformazione, propaganda), operazioni di influenza (plasmare la percezione pubblica, minare la fiducia), estorsione multi-strato (minacce DDoS + data leak + danno reputazionale), collaborazione intensificata (il collettivo Five Families: Stormous, GhostSec, DragonForce, ecc.) e adozione del modello RaaS per sostenibilità finanziaria delle operazioni a lungo termine.

Differenze generazionali: dall’hacker nerd al cybercriminale-bambino

Il profilo dell’hacker ha subito un’inversione demografica drammatica. L’hacker storico (1960-2010) aveva tipicamente dai primi ai metà anni venti, possedeva conoscenza tecnica profonda e competenze di coding che richiedevano anni per svilupparsi. Le motivazioni erano curiosità e sfida intellettuale, risolvere puzzle tecnici, guadagnare diritti di vanteria, spingere i confini “per il brivido” e opporsi alla censura promuovendo la libertà. La cultura includeva piccole comunità underground, incontri e conferenze di persona, estetica del terminale verde-su-nero, leetspeak (l33t), immagine “cool-ma-immatura” e percorso di carriera non ufficiale: hacking → cybersecurity (se si evitavano guai legali). La struttura comunitaria enfatizzava mentorship da hacker esperti, sistemi basati sulla reputazione, alte barriere tecniche all’ingresso, canali IRC e forum privati, con componente offline importante.

L’hacker moderno (2020-2025) presenta caratteristiche radicalmente diverse. Demograficamente molto più giovane con il 61% che inizia prima dei 16 anni, i membri di Scattered Spider condussero i primi attacchi all’età di 15, 17, 17 e 18 anni. IntelBroker (Kai West) iniziò a 22 anni e fu arrestato a 25. La diversità geografica è globale, non più concentrata in regioni specifiche. Le motivazioni primarie sono ego, notorietà e riconoscimento tra pari secondo la National Crime Agency britannica, con il guadagno finanziario secondario (per amplificare l’infamia), dimostrare competenze alle comunità online, brivido di causare interruzione, senso di appartenenza, e meno comune l’impegno ideologico, l’etica o gli obiettivi a lungo termine.

I percorsi di apprendimento rivelano il cambiamento più significativo. Tutorial YouTube forniscono guide step-by-step; app mobile offrono app “Impara Ethical Hacking” con corsi gratuiti; piattaforme online come Udemy, Coursera e Great Learning forniscono accesso gratuito; competizioni CTF offrono sfide gamificate; laboratori virtuali come Hack The Box e TryHackMe forniscono ambienti pratici; e non è richiesta educazione formale essendo “a pochi click di distanza”.

Il paradosso del livello di competenza è sorprendente: gli hacker tradizionali pre-2015 richiedevano comprensione profonda di protocolli (TCP/IP, DNS, HTTP), expertise di programmazione (C, Python, Assembly), conoscenza di amministrazione di sistema, comprensione dell’architettura di rete e anni di pratica con alte barriere di competenza. Gli hacker moderni 2020-2025 utilizzano strumenti pronti all’uso con interfacce point-and-click, DDoS-for-hire senza conoscenza tecnica necessaria, exploit pre-scritti con attacchi copy-paste, scanner automatizzati con rilevamento di vulnerabilità potenziato dall’AI, educazione YouTube seguendo senza comprendere i fondamentali, producendo “grandi violazioni, esperienza zero” secondo Intercede e “danno di livello professionale” da amatori.

La differenza critica nel percorso etico emerge chiaramente. Il percorso positivo (hacker etici) inizia giovane con interesse ICT, motivazione a rendere i sistemi sicuri, visione del reporting delle vulnerabilità come dovere morale, role model da genitori/pari/membri della comunità, reazioni positive dai proprietari dei sistemi, riconoscimento che stimola lo sviluppo, programmi bug bounty che forniscono reddito legittimo, e transizione a carriere di cybersecurity secondo lo studio di Wiley Online Library.

Il percorso negativo (hacker black hat) inizia giovane senza guida etica, motivazione da ego/appartenenza/interruzione, pressione dei pari da comunità criminali, isolamento sociale o trauma, falsa percezione di anonimato, mancanza di consapevolezza delle conseguenze, glamourizzazione da media/cultura pop e incentivi finanziari dall’economia del cybercrime. La presenza o assenza di educazione etica e mentorship positiva durante il periodo di apprendimento formativo rappresenta il punto di biforcazione.

Implicazioni per i professionisti della cybersecurity

I dati presentati richiedono ripensamento delle strategie di difesa e prevenzione. Il Verizon DBIR 2025 documenta che l’elemento umano è coinvolto nel 60% dei breach, con l’abuso di account validi che rappresenta una porzione significativa degli incidenti, rendendo l’identity and access management prioritario. L’aumento del 34% nello sfruttamento delle vulnerabilità (ora 20% dei breach) con tempi di remediation ancora significativi dimostra l’urgenza di patch management migliorato. Il coinvolgimento di terze parti raddoppiato al 30% dal 15% del 2024 necessita di valutazioni rigorose della sicurezza della supply chain e monitoraggio continuo dei partner.

La professionalizzazione del cybercrime attraverso modelli Crime-as-a-Service richiede approcci di difesa stratificati. Gli attacchi di phishing che consegnano infostealer sono aumentati significativamente, con una porzione sostanziale dei sistemi compromessi identificati come dispositivi con licenza enterprise e molti login aziendali trovati su dispositivi non gestiti (BYOD/personali) secondo varie analisi del settore, richiedendo soluzioni endpoint protection complete che si estendono oltre il perimetro aziendale tradizionale. Il ransomware presente nel 44% di tutti i breach secondo Verizon DBIR 2025, con percentuali ancora più alte per le piccole-medie imprese, suggerisce che le PMI necessitano di supporto specializzato e soluzioni di sicurezza accessibili.

L’età decrescente degli attaccanti presenta sfide uniche. Con l’età media di arresto del cybercriminale a 19 anni versus 37 per tutti gli altri crimini secondo l’FBI (maggio 2024), e il 61% che inizia prima dei 16 anni secondo la UK National Crime Agency, le organizzazioni affrontano avversari che possiedono sofisticazione tecnica ma mancano di maturità giudiziale.

Questi giovani attaccanti sono più incauti, non comprendono completamente l’impatto, mirano a organizzazioni più grandi motivati dall’ego piuttosto che dalla valutazione del rischio razionale, e sono più propensi a essere catturati ma anche più propensi a rioffendere se non adeguatamente riabilitati. La ricerca mostra che solo una piccola percentuale degli hacker viene arrestata (stime dell’industria indicano 4-5%), creando percezione di impunità che incoraggia comportamento rischioso.

L’evoluzione dell’hacktivismo sponsorizzato dagli stati richiede intelligence delle minacce potenziata. I oltre 6.600 target unici documentati di NoName057(16) dall’agosto 2022 con il 96% in Europa (secondo Orange Cyberdefense), gli attacchi innescati da eventi allineati con festività nazionali e conferenze internazionali, e le connessioni confermate tra APT44/Sandworm e multiple persone hacktiviste dimostrano che le organizzazioni devono comprendere il contesto geopolitico del loro profilo di rischio. Le organizzazioni in settori strategici (finanza, trasporto, istruzione, governo) in paesi che supportano l’Ucraina o hanno posizioni su conflitti del Medio Oriente affrontano rischio elevato da collettivi hacktivisti che possono avere supporto statale.

Conclusioni: educare, rilevare, deflettere

La ricerca del decennio 2015-2025 rivela che il cybercrime giovanile non è principalmente problema tecnologico ma fenomeno socio-psicologico abilitato dalla tecnologia. Le barriere tecniche sono crollate mentre le barriere etiche non sono mai state costruite. Il professor Thomas J. Holt (oltre 14.300 citazioni accademiche, settembre 2025) e dozzine di ricercatori peer-reviewed confermano che multiple motivazioni coesistono (sfida intellettuale, guadagno finanziario, ideologia, brivido, riconoscimento), l’apprendimento sociale e l’influenza dei pari emergono consistentemente come predittori più forti, i percorsi giovanili differiscono dai pattern adulti con effetti di maturazione sulla motivazione, i black hat e gli hacktivisti mostrano profili motivazionali distinti nonostante metodi tecnici simili, e le teorie criminologiche tradizionali (RAT, autocontrollo, apprendimento sociale) si applicano ma richiedono modifiche per contesti cyber.

I fattori economici e strutturali correlano con i tassi di cybercrime, con disoccupazione e povertà che spingono alcuni giovani verso alternative criminali mentre altri con privilegio e accesso tecnologico si impegnano per ego e appartenenza. La cultura hacker opera come sottocultura funzionante con norme, gerarchie di status e condivisione di conoscenza, ma l’elemento etico che caratterizzava le generazioni precedenti è stato perso nella transizione da comunità underground esclusive a piattaforme mainstream accessibili. La migrazione da IRC e forum del dark web a Telegram e Discord ha democratizzato l’accesso ma anche eliminato processi di vetting e strutture di mentorship che precedentemente incorporavano l’etica insieme alle competenze tecniche.

Le raccomandazioni per i professionisti della cybersecurity e i responsabili politici emergono chiaramente dalla ricerca. L’intervento precoce è critico: la ricerca Europol identifica percorsi comuni (interesse → attività illegale di basso livello → escalation attraverso rinforzo positivo) che possono essere interrotti. L’educazione integrata che incorpora etica, consapevolezza legale e comprensione delle conseguenze nei materiali di apprendimento dell’hacking è essenziale. Le piattaforme di apprendimento etico (Hack The Box, TryHackMe, Coursera) dovrebbero integrare moduli etici obbligatori prima di consentire l’accesso a contenuti tecnici. I programmi bug bounty e percorsi di carriera legittimi nella cybersecurity dovrebbero essere ampiamente pubblicizzati ai giovani interessati alla tecnologia, fornendo alternative positive.

Il bisogno critico enfatizzato attraverso la ricerca è la prevenzione attraverso l’educazione, la comprensione dei percorsi nel cybercrime e il convogliamento delle competenze tecniche in attività legittime piuttosto che concentrarsi esclusivamente sulla deterrenza e la punizione. I casi di Marcus Hutchins e Kane Gamble dimostrano che i giovani offenditori possono transitare con successo a carriere “white hat”, ma richiede intervento precoce, sentenze clementi che permettano la riabilitazione e volontà dell’industria di assumere hacker riformati. Le organizzazioni affrontano la realtà che previsioni del settore indicano costi del cybercrime che potrebbero raggiungere trilioni di dollari annualmente, e questi costi non possono essere affrontati solo attraverso difese tecniche quando l’offerta di giovani attaccanti tecnicamente competenti ma eticamente non guidati continua ad espandersi.

La trasformazione finale del 2022-2025 – la cooptazione dell’hacktivismo da parte degli stati nazionali – presenta le sfide più complesse. Quando i governi mascherano operazioni di cyber warfare come movimenti hacktivisti grassroots, la distinzione tra protezione dell’infrastruttura critica e risposta agli atti di guerra statali si sfuma. Le organizzazioni devono sviluppare intelligence delle minacce che comprenda non solo capacità tecniche ma contesto geopolitico, motivazioni ideologiche e potenziale supporto statale dietro gli attaccanti apparentemente indipendenti. L’analisi stilometrica e la modellazione tematica condotte da ricercatori come EclecticIQ forniscono metodologie per identificare coordinamento nascosto, ma richiedono sofisticazione analitica oltre le capacità di sicurezza tradizionali.

Il decennio 2015-2025 ha testimoniato non semplicemente l’evoluzione del cybercrime ma la sua trasformazione in fenomeno che interseca psicologia dello sviluppo, sociologia, economia, geopolitica e tecnologia. I professionisti della cybersecurity devono espandere le loro prospettive oltre le difese tecniche per comprendere gli avversari umani – sempre più giovani, sempre più motivati da fattori non finanziari, sempre più abilitati da strumenti potenti senza comprensione proporzionale delle conseguenze.

La speranza risiede nei dati che mostrano che i percorsi nel cybercrime sono identificabili e interrompibili, che alternative legittime esistono e attraggono quando rese visibili, e che la riabilitazione è possibile quando le società scelgono l’educazione sulla punizione. La domanda per il prossimo decennio è se i professionisti della sicurezza, gli educatori e i responsabili politici costruiranno quei ponti prima che la prossima generazione di teenager con competenze di livello APT ma giudizio di livello adolescenziale trovi i forum di Telegram che trasformano la curiosità in crimine.

Bibliografia:

Hani, J., Nashaat, M., Ahmed, M., Emad, Z., Amer, E., & Mohammed, A. (2024). Psychological profiling of hackers via machine learning toward sustainable cybersecurity. Frontiers in Computer Science

Europol (2016, October). Youth Pathways into Cybercrime. White Paper

Romagna, M. (2023). Becoming a hacktivist: Examining the motivations and the processes that prompt an individual to engage in hacktivism. Information, Communication & Society.

S. Department of Justice (2022, April 5). Justice Department Investigation Leads to Shutdown of Largest Online Darknet Marketplace

S. Department of Justice (2025, September 18). United Kingdom National Charged in Connection with Multiple Cyber Attacks, Including on Critical Infrastructure

S. Department of Justice (2018, September 6). North Korea Responsible for WannaCry Ransomware Attack

New York State Department of Financial Services (2020). Twitter Investigation Report.

Cybersecurity and Infrastructure Security Agency (CISA) (2017, May 12). Indicators Associated With WannaCry Ransomware [Alert AA17-132A].

CISA (2023, November 16). Scattered Spider [Cybersecurity Advisory AA23-320a].

Verizon (2025). 2025 Data Breach Investigations Report.

Kaspersky (2024, December). Kaspersky Security Bulletin: The Cyber Surge – 467,000 Malicious Files Detected Daily in 2024

Kaspersky (2023, December). Year in Review: Cybercriminals Unleashed 411,000 Malicious Files Per Day in 2023

Orange Cyberdefense (2024, December). Security Navigator 2025. Analysis of NoName057(16) hacktivist activities.

EclecticIQ (2025, January-February). Sandworm APT Targets Ukrainian Users with Trojanized Microsoft KMS Activation Tools in Cyber Espionage Campaigns

Mandiant/Google Cloud (2024, April). Unearthing APT44: Russia’s Notorious Cyber Sabotage Unit Sandworm

McKeen, W. (2024, May). Presentation at RSA Conference San Francisco. FBI Supervisory Special Agent, quoted on cybercrime age demographics and trends.

EC-Council (n.d.). Certified Ethical Hacker (CEH) v13 Program.

United States District Court, Southern District of New York (2012, March 6). Criminal complaints and indictments against LulzSec members

Florida State Court (2021, March). State of Florida v. Graham Ivan Clark. Florida Youthful Offender Act proceedings.

Old Bailey, London (2018, April 20). Sentencing of Kane Gamble

Cybersecurity Ventures (2020, November). Cybercrime To Cost The World $10.5 Trillion Annually By 2025

Intercede (n.d.). The Rise of the Teen Hacker: Big Breaches, Zero Experience

SOCRadar (2025). Dark Web Profile: Scattered Spider. Cybercrime intelligence report.

Anonymous Collective (2015, November). Operation KKK and Operation ISIS communications via Pastebin and Twitter @Operation_KKK.

https://www.ictsecuritymagazine.com/notizie/giovani-hacker/

In questo articolo esaminiamo il ruolo dell’Open Source Intelligence (OSINT) nel panorama informativo attuale, analizzando questo approccio si inserisca nel più ampio contesto della gestione e dell’utilizzo delle informazioni pubblicamente accessibili. Il contenuto fa parte di una serie di approfondimenti redatti da Marta Zeroni incentrati sulla complessa tematica della sovraesposizione e del controllo sui dati nell’ecosistema digitale contemporaneo.

Se sino ad ora si è osservato il fenomeno della sovraesposizione online attraverso la lente delle sue vittime – effettive o potenziali –, è pur vero che a tale angolo di visuale ne corrisponde un altro di segno opposto, ossia quello di chi anziché subire la natura iper-pubblica delle informazioni è in grado di sfruttarla in modo proattivo per un determinato fine.

L’OSINT come strumento di analisi

Del resto, ciascun archivio di materiale pedopornografico o di pornografia non consensuale di immagini o video provenienti dal surface web dal deep web [1], è stato popolato da utenti che hanno attinto metodologicamente a fonti aperte online per reperire il materiale, filtrarlo, categorizzarlo ed infine metterlo a disposizione di una determinata cerchia di fruitori.

Le attività descritte, pur illecite ed esecrabili, ricalcano quelle che sono le fasi proprie dell’Open Source Intelligence (c.d. OSINT o intelligence delle fonti aperte), disciplina che trova il proprio presupposto essenziale nella disponibilità ed accessibilità delle fonti informative aperte [2].

L’attività di intelligence delle fonti aperte non è di per sé illecita; tanto è vero che già nel 2001 la NATO la considerava una componente vitale della propria visione futura [3]. L’OSINT, infatti, consentirebbe di raccogliere informazioni senza travalicare limiti di legge [4]e mantenendo un approccio estremamente dinamico, considerato che può avvalersi, come si vedrà, di un ambito di indagine in continua espansione e strumenti sempre più sofisticati.

Per comprendere cosa sia l’intelligence delle fonti aperte – fermo che non ne esiste, ad oggi, una definizione unanime e condivisa a livello nazionale, europeo o internazionale – ci si può rifare a quanto riportato dalla stessa Alleanza Atlantica nel NATO Open Source Intelligence Handbook:

Open Source Intelligence, or OSINT, is unclassified information that has been deliberately discovered, discriminated, distilled and disseminated to a selected audience in order to address a specific question[5].

In termini analoghi si esprime a sua volta il Direttore dell’Intelligence nazionale statunitense con l’Intelligence Community Directive 301 firmata nel 2006:

Open-source intelligence (OSINT) is intelligence that is produced from publicly available information and is collected, exploited, and disseminated in a timely manner to an appropriate audience for the purpose of addressing a specific intelligence requirement [6].

Da entrambi gli enunciati si desume che per Open Source Intelligence debba intendersi il prodotto (intelligence) di una serie di attività e operazioni effettuate su informazioni non riservate o pubblicamente accessibili. Di conseguenza, l’OSINT propriamente detta dovrà essere tenuta ben distinta dalle mere informazioni raccolte da fonti aperte che non siano state sottoposte a specifiche valutazioni [7](cosiddette OSINF, Open Source Information).

Il ciclo dell’OSINT

Una volta identificati gli obiettivi dell’indagine, l’Open Source Intelligence richiede pertanto l’avvio di una serie di fasi [8]per il vaglio e la valutazione di fonti ed informazioni secondo un metodo il più possibile scientifico. L’Open Source Intelligence cycle – così definito dalla NATO – si svolge sostanzialmente in quattro momenti fondamentali:

1. Discover (Know Who Knows): l’analista inizia la raccolta di informazioni da una varietà di fonti aperte, tra cui siti web, social media, database pubblici, quotidiani, riviste;
2. Discrimination (Know What’s What): durante questa fase, l’analista seleziona e raggruppa le fonti per importanza e rilevanza, distinguendole tra attendibili o meno, attuali od obsolete, anche in funzione di eventuali valutazioni costi-benefici;
3. Distillation (Know What’s Hot): vengono estratte le informazioni rilevanti ed identificati pattern, tendenze, relazioni significative;
4. Dissemination (Know Who’s Who): l’intelligence viene condivisa con i soggetti interessati (ad esempio mediante rapporti ad hoc), mantenendone successivamente traccia mediante archiviazione [9].

Il ruolo chiave delle fonti aperte

Appurata la necessità di seguire il processo o ciclo descritto, risulta evidente all’interno dello stesso il ruolo centrale che assume la fonte aperta; essa si presenta come un’entità di varia natura – più o meno organizzata, più o meno strutturata –, portatrice di un certo contenuto informativo (c.d. “valore informativo aggiunto”) [10].

Non si parla pertanto, delle sole fonti online, ma anche di tutte quelle fonti per così dire “classiche” quali quotidiani, periodici, riviste, libri, radio e tv, fotografie ed immagini satellitari, come pure della c.d. grey literature, rappresentata da materiale legalmente accessibile ma da reperire mediante il ricorso a fonti specializzate (es. documenti non riservati a rilevanza interna prodotti da organizzazioni, istituti di formazione e aziende) [11].

“Nell’intelligence delle fonti aperte tutto o quasi è una fonte” [12]e, viceversa, circa l’80% dell’intelligence proverrebbe da fonti aperte [13]. Innegabilmente, internet – con la sua crescita esponenziale e le sue varie declinazioni – ha allargato a dismisura il perimetro delle fonti, rivoluzionando l’OSINT in modo decisivo [14]: la NATO lo menziona espressamente nel suo Handbook – pubblicato, non a caso, proprio nel pieno della bolla tecnologica delle dot-com – ma al tempo stesso mette in guardia gli analisti affinché affrontino tale fonte “with great caution” [15]; e questo approccio cautelativo risulta tanto più necessario nel panorama attuale.

Dal fitness tracker alla geolocalizzazione delle basi militari

Anche da informazioni in apparenza innocue ed impersonali, l’analista OSINT – o il semplice utente amatore – può desumere dettagli estremamente puntuali.

È ben noto il caso dell’applicativo di fitness tracking Strava, che nel 2017 ha reso pubbliche le sue heath map globali, comprensive di “700 milioni di attività, 1.4 trilioni di punti di latitudine e longitudine, 7.7 trilioni di pixel rasterizzati, 5 terabyte di dati di raw input, per una distanza totale di 16 miliardi di chilometri e una durata totale di attività registrate pari a 100mila anni” [16], suscitando immediate reazioni: sulla base di tali dati, molti utenti identificarono con relativa facilità basi ed avamposti militari le cui posizioni sarebbero dovute rimanere riservate [17].

Si pensi poi, senza spostarsi dall’ambito della georeferenziazione, a come il geoguessing sia diventato un passatempo diffusissimo tra gli utenti, i quali, sfidandosi all’interno di varie community, si cimentano nel risalire alla localizzazione di immagini casuali, ad esempio estratte da Street View [18].

Il Social Media Intelligence (SOCMINT)

Tra le fonti aperte è d’obbligo menzionare i social media, che negli anni hanno naturalmente acquisito crescente rilevanza, al punto da esserne sovente considerati una branca d’intelligence a sé stante (c.d. SOCMINT) [19].

Nel contesto social, le relazioni tra gli utenti possono essere facilmente identificate e mappate; le attività di persone fisiche e giuridiche risultano ben monitorabili, talvolta in tempo reale, anche visionando commenti e/o conversazioni tra utenti, dati di geolocalizzazione e diversi tipi di materiali multimediali (ad es. testi, foto e video), disponendo per altro di strumenti integrati per il filtro dei contenuti, mediante tag, chiavi di ricerca o l’indagine mirata all’interno di specifici gruppi o network [20].

Sfide etiche e legali nell’OSINT: il rischio di violazione della privacy

L’accesso a una tale mole di fonti, tuttavia, non è sempre un vantaggio per l’analista OSINT. Quest’ultimo, dotato di risorse intrinsecamente finite, si trova a doversi orientare in un patrimonio informativo potenzialmente illimitato, con esigenze di liceità, esattezza e pertinenza delle fonti che con ogni evidenza vanno al di là del mero rispetto formale delle regole del gioco, riguardando lo stesso obiettivo sostanziale dell’attività di intelligence.

Assicurare una corretta conduzione dell’Open Source Intelligence cycle significa anche evitare le distorsioni che possano inficiarne il processo, tra le quali si ricorda il rischio di violazioni di dati personali, richiamando il c.d. privacy paradox secondo cui le informazioni sono disponibili ed accessibili, e pertanto non private, ma allo stesso tempo possono risultare estremamente sensibili e di natura personale, e pertanto private [21].

Inoltre, informazioni in apparenza anonime, se interconnesse con altri dati, potrebbero identificare in modo univoco l’interessato nel corso dell’investigazione.

L’ammissibilità legale delle prove OSINT

Per altro verso, l’analista dovrà in genere considerare l’ammissibilità della prova ottenuta tramite OSINT nel corso di un eventuale giudizio, dovendo assicurare che la fonte delle informazioni risulti chiaramente identificata, affidabile e che le stesse informazioni siano state raccolte lecitamente e presentino i necessari profili di integrità ed affidabilità.

Tali sfide hanno reso cruciale il ricorso agli algoritmi, grazie ai quali è possibile raccogliere, organizzare e vagliare enormi volumi di dati, identificando pattern e possibili anomalie, ed automatizzando molte attività [22]. In particolare, l’intelligenza artificiale sembra pronta a giocare un ruolo fondamentale – quasi un cambio di paradigma – nel futuro dell’OSINT, in tutte le fasi del ciclo d’intelligence.

Naturalmente, a fronte di una serie di innegabili vantaggi operativi, l’impiego dell’AI nell’Open Source Intelligence può comportare almeno altrettante criticità – o sfide, se si preferisce: anzitutto l’attività di revisione e controllo sul codice dell’algoritmo, la conoscibilità di quest’ultimo, il ruolo dei soggetti di diritto privato che forniscono il tool di AI, la crescente complessità e frammentarietà dei sistemi su cui l’analista si trova a dover fare affidamento e non ultimo la questione dell’accountability in caso di errori, bias o danni.

Uso dell’OSINT per contrastare le fake news e i cyber crime

Tali questioni ad oggi restano aperte, ma lo sviluppo di strumenti e strategie per consentire un approccio proattivo alla disponibilità informativa risulta tanto più urgente e fondamentale quanto più l’ecosistema online continua a dilatarsi. L’Open Source Intelligence, se utilizzato deontologicamente, potrebbe così rappresentare una “forza uguale e contraria” rispetto alle distorsioni delle nuove tecnologie dell’informazione.

Si pensi ad iniziative come Bellingcat [23], il sito web fondato da Eliot Higgins, che utilizza dati liberamente accessibili da fonti pubbliche per promuovere la diffusione di notizie esatte, contrastare le fake news e rendere conoscibili a tutti le tecniche di giornalismo investigativo; così come agli strumenti di tutela per le vittime di pornografia non consensuale già citate nel capitolo precedente, anch’essi intimamente legati alla filosofia e ai meccanismi OSINT [24].

Combattere la pornografia minorile e per rintracciare persone scomparse

L’iniziativa Europol Trace an Object si avvale di una forma di intelligence delle fonti aperte in crowdsourcing [25]. Europol mette a disposizione una serie di immagini decontestualizzate di oggetti, ritagliate dallo sfondo di fotografie o materiale video a contenuto sessualmente esplicito riguardante minori, richiedendo il supporto degli utenti per risalire alla provenienza geografica degli oggetti stessi. In seguito, anche l’Australian Center to Counter Child Exploitation ha adottato una propria versione dell’iniziativa [26].

Analogamente, anche l’organizzazione non-profit Trace Labs si avvale – ferma l’attività di triage di un team di professionisti dell’OSINT e hacker – della collaborazione di una comunità di utenti volontari per assistere nei casi di persone scomparse, istituendo veri e propri gruppi di ricerca online, anche mediante la condivisione di software e script da utilizzare per le attività di Open Source Intelligence [27].

Bilanciare rischi e opportunità dell’OSINT

Confrontando i case studies qui brevemente richiamati con l’esempio con cui si era aperto il capitolo – l’altra faccia della medaglia dell’OSINT e l’utilizzo delle sue tecniche per finalità illecite o dannose [28]– risulta chiaro come, pur a fronte di un’innegabile problematicità insita nelle dinamiche della sovraesposizione online, la presente trattazione non possa trovare il suo punto d’arrivo nella completa stigmatizzazione delle innovazioni tecnologiche della società dell’informazione.

Il tema dovrebbe essere evidentemente considerato da entrambe le angolazioni, ragionando sia sui potenziali rischi e sull’impatto che la diffusione dei dati può comportare che sull’opportunità di utilizzo delle fonti pubbliche in ottica proattiva, aumentando ed affinando gli strumenti di controllo e di tutela a disposizione degli interessati.

Adottando la dovuta cautela, si può allora tentare di orientarsi nella “biblioteca di Babele” della rete accentando, per quanto possibile, la dissonanza cognitiva che le sue dinamiche ci suscitano, con spirito analogo a quello espresso dalla prima legge di Kranzberg:

Technology is neither good nor bad; nor is it neutral [29].

Privacy ed evoluzione tecnologica: sfide nell’era digitale

Come premesso, e peraltro ampiamente osservato sino ad ora, l’avanzare delle tecnologie dell’informazione comporta, in parallelo, un inevitabile aumento dell’esposizione massiva degli individui e delle informazioni che li riguardano.

Le preoccupazioni di Warren e Brandeis alla fine del diciannovesimo secolo non erano poi così dissimili da quelle odierne; allo stesso tempo però, è evidente che, nello sconfinato macrocosmo della rete, le conseguenze della propagazione di dati personali risultano amplificate e così anche le esigenze di tutela degli utenti.

In questo scenario, la privacy – considerata, nel suo nocciolo duro, come il diritto ad esercitare un controllo sui propri dati personali – somiglierebbe a una risposta immunitaria alle manifestazioni patologiche della sovraesposizione online.

I limiti degli attuali strumenti di tutela della privacy

Tuttavia, interrogandosi sull’efficacia sostanziale degli strumenti di tutela a disposizione degli interessati per esercitare effettivamente tale controllo, ci si è scontrati con una realtà sconfortante.

Considerati i casi pratici riguardanti i minori esposti precocemente in rete e le vittime di diffusione illecita di materiale pornografico, si è osservato come le conseguenze lesive della diffusione dei dati online possano assumere natura irreparabile, comportando per gli interessati un danno, reputazionale e nondimeno psicofisico, potenzialmente permanente.

Se per un verso entropia ed ingovernabilità si presentano come caratteristiche quasi costitutive della nuova società dell’informazione, resta la necessità di uno sforzo ulteriore, dal valore costruttivo – al fine, quantomeno, di riacquistare un margine di controllo sul dato.

Una possibile forma di utilizzo proattivo delle c.d. fonti aperte è stata ravvisata nella filosofia e nelle tecniche dell’Open Source Intelligence. Questa disciplina ha il potenziale di aumentare proporzionalmente la propria efficacia al dilatarsi del patrimonio informativo pubblicamente accessibile – ma non senza complessità.

Per operare correttamente come strumento azione a sostegno della collettività, l’OSINT richiede di procedere con metodo, individuando e rispettando standard etici, tenendo ben presente le regole del gioco ma con uno sguardo quanto più possibile aperto sui possibili sviluppi tecnologici dai quali questa forma d’intelligence possa trarre giovamento.

Verso un nuovo paradigma di protezione dei dati

L’auspicio è che l’approccio descritto possa conservare un valore al di là del caso di specie, funzionando come una bussola all’interno dell’ecosistema informativo digitale.

Per recuperare l’effettività del controllo sui dati personali, le regole formali non bastano, ma è necessario affrontare le trasformazioni tecnologiche senza giudizi di valore, discriminandone i contesti e valutandone concretamente gli impatti, a breve e a lungo termine, sugli interessati. Così, se non perderemo di vista la dimensione concreta della privacy, forse potremmo salvarla dall’obsolescenza.

Per approfondire il tema vi invitiamo a scaricare il white paper realizzato da Marta Zeroni “Sovraesposizione e controllo sui dati personali nell’ecosistema informativo online”.

[1] La terminologia surface web fa riferimento alla porzione di web indicizzata all’interno dei motori di ricerca e pertanto soggetta al massimo regime di pubblicità (pari appena al 4% del totale dei contenuti totali online). Quanto non indicizzato rappresenta il deep web, da non confondere con il dark web (piccola frazione dello stesso, criptata e generalmente dedicata ad attività illegali). Deep web (Britannica) . Ultimo accesso il 22 febbraio 2023.

[2] Tradizionalmente, l’intelligence include cinque principali discipline di raccolta di informazioni da diverse fonti: HUMINT (human intelligence, es. informatori), SIGINT (signal intelligence, es. intercettazioni), IMINT (imagery intelligence, es. immagini satellitari), MASINT (measurement and signature intelligence, es. analisi delle firme chimiche) e OSINT. BAKER R., Deep Dive. Exploring the real-world value of open source intelligence, Wiley, 2023, pos. 1131.

[3] NATO Open Source Intelligence Handbook, NATO Standardization Agency, 2001, p. V.

[4] “It is important to note that OSINT is a purely passive method of intelligence collection, meaning that we view information such as a person’s credentials in a database, but we do not use those credentials to access anything or to log in. Using credentials or actively scanning/intruding into a system is active reconnaissance, which should be left to ethical hackers (…)”: BAKER R., op. cit., pos. 1017.

[5] NATO Open Source Intelligence Handbook, ibidem.

[6] Intelligence Community Directive, number 301 (Director of National Intelligence). Ultimo accesso il 19 febbraio 2024.

[7] Nel presente capitolo si è scelto di far riferimento all’ultima fase delle attività di OSINT con il termine “disseminazione” anziché con il più comune (ed equivalente) “diffusione”, così da non confonderlo con l’omonimo concetto proprio della disciplina privacy e già trattato nei capitoli precedenti.

[8] Nello specifico, rifiuta l’impostazione dell’OSINT come “modello a fasi”: NACCI G., Open Source Intelligence Application Layer, Edizione Epoké, 2017, p. 29.

[9] NATO Open Source Intelligence Handbook, pp. 15-35.

[10] NACCI G., Open Source Intelligence Abstraction Layer, Edizioni Epoké, 2014, pos. 1872.

[11] NATO Open Source Intelligence Handbook, p. 5. A proposito di categorie di fonti, con ogni probabilità una prima versione ante litteram dell’OSINT nacque durante la Seconda Guerra Mondiale in Gran Bretagna e negli Stati Uniti, dove furono istituiti organismi per il monitoraggio dei media stranieri (rispettivamente il BBC Monitoring Service e il Foreign Broadcast Monitoring Service): SCHRAURER F., STORGER J., The Evolution of Open Source Intelligence (OSINT) in Journal of U.S. Intelligence Studies, 19, 3, 2013, pp. 53-56.

[12] NACCI G., 2017, p. 220.

[13] GHIONI R., TADDEO M., FLORIDI L., Open source intelligence and AI: a systematic review of the GELSI literature (AI & Society). Ultimo accesso il 23 febbraio 2024.

[14] GHIONI R., TADDEO M., FLORIDI L., art. cit.

[15] NATO Open Source Intelligence Handbook, p. VI.

[16] ROBB D., Building the Global Heatmap (strava-engineering). Ultimo accesso il 22 febbraio 2024.

[17] Fitness tracking app Strava gives away location of secret US army bases (The Guardian). Ultimo accesso il 22 febbraio 2024. L’utente Nathan Ruser ha fatto notare su Twitter come le basi USA risultassero chiaramente identificabili e mappabili. Ultimo accesso il 22 febbraio 2024). Altri utenti hanno identificato basi francesi in Niger. Ultimo accesso il 22 febbraio 2024 e black site della CIA. Ultimo accesso il 22 febbraio 2024).

[18] Ad esempio all’interno dell’app GeoGuessr o nella community Reddit “r/geoguessing”. C’è chi si spinge oltre e utilizza l’OSINT per identificare i luoghi a partire dalle tipologie di alberi presenti nelle foto: DEGENER J., How to Do OSINT With Urban Tree Data (Better Programming) ultimo accesso il 22 febbraio 2024.

[19] OMAND D., BARTLETT J., MILLER C., Introducing social media intelligence (SOCMINT) in Intelligence & National Security, 27, 6, 2012.

[20] L’intelligence sui social media ha impattato in modo particolare nella lotta al terrorismo. GHIONI R., TADDEO M., FLORIDI L., art. cit.

[21] GHIONI R., TADDEO M., FLORIDI L., art. cit.

[22] AA. VV., Automating Open Source Intelligence, Syngress, 2016, pp. 1-18.

[23] bellingcat – the home of online investigations ultimo accesso il 22 febbraio 2024.

[24] Supra, cap. 6.

[25] Stop Child Abuse – Trace an Object (Europol). Ultimo accesso il 22 febbraio 2024.

[26] Stop Child Abuse – Trace an Object (Australian Center to Counter Child Exploitation). Ultimo accesso il 22 febbraio 2024.

[27] Trace Labs ultimo accesso il 22 febbraio 2024.

[28] È d’obbligo specificare che, al di là dei casi diametralmente opposti qui riportati, l’OSINT è quotidianamente utilizzato anche in ambiti del tutto comuni, quali, ad esempio: due diligence o valutazione dell’affidabilità (c.d. background check) di un fornitore effettuate in contesti aziendali, attività di investigazione da parte di forze dell’ordine, agenzie di investigazione privata e avvocati difensori, controlli assicurativi, etc.

[29] KRANZBERG M., Technology and History: “Kranzberg’s Laws” in Technology and Culture, 27, 3, 1986, p. 547.

https://www.ictsecuritymagazine.com/articoli/osint-caos-digitale/

Le cyber-operazioni israeliane hanno trasformato radicalmente i conflitti moderni, dimostrando che tastiere e codici possono infliggere danni paragonabili alle armi cinetiche. Al cuore di questo arsenale digitale si trova l’Unità 8200, una forza d’élite di intelligence dei segnali che ha orchestrato alcune delle operazioni più sofisticate della storia, dal noto caso di Stuxnet agli attacchi alle infrastrutture critiche iraniane, culminati nella “Guerra dei 12 Giorni” del giugno 2025.

La portata delle cyber-operazioni israeliane è diventata drammaticamente evidente durante il conflitto israelo-iraniano del giugno 2025, documentato da istituzioni e media internazionali. Questo conflitto ha dimostrato come i membri dell’Unità 8200 abbiano raggiunto un’influenza strategica paragonabile alle divisioni militari tradizionali, operando dalla stazione di ascolto di Urim nel deserto del Negev e dal quartier generale a Glilot Junction, a nord di Tel Aviv.

L’evoluzione da Stuxnet alla guerra sistemica delle infrastrutture

Il precedente di Stuxnet: la prima cyberweapon della storia

L’operazione Stuxnet del 2010 ha segnato un momento cruciale nella storia della guerra cibernetica israeliana. Questa operazione congiunta USA-Israele, parte della più ampia iniziativa “Olympic Games”, ha dispiegato malware con un livello di sofisticatezza senza precedenti: 500 kilobyte di codice che utilizzavano quattro exploit zero-day simultaneamente, secondo l’analisi di Kaspersky Lab.

Il worm prendeva di mira specificamente il software Siemens SIMATIC WinCC/Step-7, che controllava i controllori logici programmabili presso la struttura nucleare iraniana di Natanz. Come riportato dall’IEEE Spectrum nel 2025, “l’operazione distrusse circa 1.000 centrifughe” presso la struttura. L’Institute for Science and International Security ha confermato nelle sue analisi che “Stuxnet potrebbe aver distrutto circa 1.000 centrifughe presso l’impianto di arricchimento combustibile di Natanz alla fine del 2009 o all’inizio del 2010”.

Secondo la Stanford University, “è attualmente stimato che il worm Stuxnet abbia distrutto 984 centrifughe per l’arricchimento dell’uranio”, mentre CSO Online riporta che “Stuxnet distrusse quasi un quinto delle centrifughe nucleari dell’Iran”.

Le innovazioni tecniche di Stuxnet andavano oltre la mera interruzione: il malware dimostrò la penetrabilità dell’air-gap attraverso unità USB e utilizzò certificati digitali rubati da RealTek e JMicron per apparire legittimo, ottenendo la distruzione fisica delle centrifughe IR-1.

Come riportato dal Council on Foreign Relations nel documento “Confronting the Cyber Threat“:

Stuxnet fu “il primo software malevolo specificamente progettato per colpire un particolare tipo di sistema di controllo industriale”, che “causò il malfunzionamento delle centrifughe” mentre “il sabotaggio si verificava mentre la direzione dell’impianto osservava una facciata di funzionamento normale”. Il CFR conferma inoltre nel suo Cyber Operations Tracker che Stuxnet rappresenta “il primo caso pubblicamente noto in cui un’operazione cyber ha causato danni fisici al di fuori di un ambiente di test controllato”.

L’evoluzione tattica delle cyber-operazioni israeliane: dagli attacchi mirati alle campagne sistemiche

L’evoluzione da Stuxnet rivela un cambiamento strategico nella dottrina cyber israeliana. Mentre Stuxnet si concentrava su un singolo obiettivo di alto valore con precisione chirurgica, le operazioni successive hanno dimostrato un targeting più ampio delle infrastrutture.

L’attacco dell’aprile 2021 al sistema di distribuzione elettrica di Natanz causò guasti significativi alle cascate di centrifughe, secondo The Washington Post che citava “fonti di intelligence americane”.

L’attacco dell’ottobre 2021 al sistema di distribuzione del carburante iraniano ha rappresentato un’evoluzione significativa nella guerra cibernetica regionale. Rendendo 4.300 stazioni di servizio dell’Iran incapaci di elaborare pagamenti, l’episodio ha mostrato che un attacco informatico può avere conseguenze dirette non solo sulle infrastrutture ma anche sui servizi ai cittadini.

Il gruppo Predatory Sparrow: warfare psicologico digitale

Il gruppo “Predatory Sparrow” (Gonjeshke Darande in persiano) ha rivendicato la responsabilità dell’operazione contro il sistema di carburante iraniano. Come riportato da Ynet News, “circa 4.300 stazioni di servizio – il 70% di tutte le stazioni in Iran – sono state chiuse” durante l’attacco del 2021.

Secondo The Times of Israel, “il gruppo noto come Gonjeshke Darande, o Predatory Sparrow, disse di aver disabilitato «la maggioranza delle pompe di benzina in tutto l’Iran»”.

L’aspetto più innovativo di questi attacchi è stato aver integrato elementi di warfare psicologico: durante l’attacco del 2021, secondo Wikipedia, “gli aggressori presero anche il controllo dei cartelloni digitali per mostrare messaggi critici verso la Guida Suprema dell’Iran”, incluso il messaggio “Khamenei! Dove è il nostro carburante?”, seguito dal numero di telefono personale del leader supremo iraniano.

Il gruppo ha ripetuto attacchi simili nel dicembre 2023, con Iran International che riporta: “l’attacco cibernetico responsabile della paralisi delle stazioni di servizio in tutto l’Iran lunedì è stato rivendicato dal gruppo hacker Gonjeshk-e-Darande o Predatory Sparrow“.

Unità 8200: il motore della supremazia cyber israeliana

Struttura e dimensioni dell’organizzazione

L’Unità 8200 rappresenta molto più di un’unità di intelligence militare: funziona come il crogiolo tecnologico di Israele. Peter Roberts – Direttore delle Scienze Militari presso il Royal United Services Institute – la descrive come “probabilmente la principale agenzia di intelligence tecnica al mondo, alla pari con la NSA in tutto tranne che nelle dimensioni”.

This is Beirut riporta che:

“secondo vari esperti, il personale dell’Unità 8200 varia da 5.000 a 10.000 membri, con circa la metà attiva in qualsiasi momento, rappresentando quasi l’80% della forza lavoro totale di Aman”.

La struttura organizzativa dell’unità riflette la sua duplice natura militare e civile. Formalmente designata come Unità Nazionale SIGINT Israeliana (ISNU), opera sotto la Direzione dell’Intelligence Militare (Aman). Come riportato dal sito ufficiale delle IDF, “l’Unità 8200 è la principale unità di raccolta informazioni della Direzione dell’Intelligence Militare”.

Capacità operative e infrastrutture

Secondo uno studio del 2019 dell’ETH Zurich, “l’Unità 8200 ha dimostrato capacità avanzate nell’intelligence dei segnali e nelle operazioni cyber”. Le sue sotto-unità includono l’Unità Hatzav per la raccolta di intelligence open-source, l’Unità 81 per lo sviluppo di tecnologie classificate e Gedasim per la trasmissione in tempo reale di informazioni dal campo di battaglia.

Come riportato da Le Monde diplomatique nel 2010:

l’unità “gestisce una grande base SIGINT nel Negev, una delle più grandi basi di ascolto al mondo, capace di monitorare chiamate telefoniche, email e altre comunicazioni, in tutto il Medio Oriente, Europa, Asia e Africa”.

L’unità mantiene anche “postazioni di ascolto coperte nelle ambasciate israeliane all’estero, intercetta cavi sottomarini, mantiene unità di ascolto coperte nei territori palestinesi e ha jet Gulfstream equipaggiati con apparecchiature di sorveglianza elettronica”.

Sistema di reclutamento e formazione

Il reclutamento inizia durante le scuole superiori, attraverso programmi specializzati come “Magshimim”, che insegna ai giovani svantaggiati programmazione in Python e C++, reverse engineering e crittografia. Il processo di selezione è estremamente competitivo, richiedendo prestazioni nel 89° percentile nei test psicometrici, secondo fonti militari israeliane documentate da Darknet Diaries.

Le reclute selezionate subiscono un addestramento intensivo di sei mesi, con giornate di 12/18 ore, come riportato da Le Temps in un articolo del 2017 che citava un ex membro dell’unità. L’addestramento enfatizza concetti come “chutzpah” (audacia) e “rosh gadol” (pensiero strategico), incoraggiando le reclute a mettere in discussione l’autorità e pensare creativamente.

Come spiegato da Darknet Diaries, “nel militare americano non è una buona idea sfidare i tuoi leader: ma nell’ambiente militare israeliano, i soldati con rosh gadol sono incoraggiati a sfidare i loro leader”. Questa filosofia ha portato molti ex membri dell’Unità 8200 a diventare fondatori di aziende tecnologiche al termine del servizio militare.

Impatto sull’industria tecnologica globale

La rete di ex membri dell’unità ha fondamentalmente plasmato i mercati globali della cybersicurezza. Ex membri dell’Unità 8200 hanno fondato Check Point Software (capitalizzazione di mercato di 16 miliardi di dollari), Palo Alto Networks, CyberArk e Wiz, che Google ha acquisito per 32 miliardi di dollari nel 2025.

Anche il controverso NSO Group – creatore dello spyware Pegasus – è stato fondato da veterani dell’Unità 8200. Secondo l’8200 Alumni Association, citata da Calcalist Tech, l’associazione “ha lanciato un programma globale per supportare le startup israeliane”, evidenziando l’impatto economico dell’unità nel settore tecnologico nazionale.

Questa «8200 Mafia», come viene spesso chiamata, ha creato oltre 300 aziende attraverso programmi acceleratori per alunni, con uscite totali che superano i 4,5 miliardi di dollari, dimostrando come in Israele la formazione di intelligence militare si traduca in innovazione commerciale.

Operazioni documentate e casi di studio

L’unità avrebbe dimostrato le sue capacità in operazioni documentate. Come affermato dal sito ufficiale delle IDF nel 2018, “l’Unità 8200 ha sventato un attacco ISIS” nel febbraio dello stesso anno, intercettando messaggi e prevenendo un attacco terroristico in un paese occidentale non meglio specificato.

L’unità “ha inviato i messaggi al paese occidentale dove era pianificato l’attacco, e con quelle informazioni, le autorità hanno arrestato gli attori e salvato innumerevoli civili”.

Un ex comandante dell’Unità 8200, Yair Cohen, ha rivelato il ruolo centrale dell’unità nell’intelligence israeliana: “Il 90% del materiale di intelligence in Israele proviene dall’8200… non c’è un’operazione importante, del Mossad o di qualsiasi agenzia di sicurezza dell’intelligence, in cui l’8200 non sia coinvolta”.

Durante il conflitto del giugno 2025, secondo The Times of Israel, “le esplosioni dei pager di Hezbollah hanno messo i riflettori sull’Unità 8200 di guerra cibernetica di Israele”, con numerosi esperti che attribuiscono le sofisticate cyber-operazioni israeliane alle capacità avanzate dell’unità.

Le dinamiche regionali della guerra cibernetica ridisegnano la sicurezza mediorientale

L’evoluzione delle capacità cyber iraniane

Il conflitto tra Iran e Israele ha catalizzato una corsa regionale agli armamenti cyber, documentata dagli analisti internazionali. Le capacità cyber iraniane si sono evolute significativamente da quando hanno subito l’attacco Stuxnet, con gruppi Advanced Persistent Threat (APT) come APT33 (Elfin), APT34 (OilRig) e APT35 (Charming Kitten) che conducono operazioni altamente complesse, secondo le analisi di Google Cloud e Microsoft Security.

Questi gruppi – collegati al Ministero dell’Intelligence e della Sicurezza iraniano (MOIS) e al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) – impiegherebbero ingegneria sociale potenziata dall’IA, tecniche di compromissione degli account cloud e sviluppo di malware personalizzato.

Escalation degli attacchi nella regione

Secondo Iran International, “nel 2023 Israele ha visto aumentare del 43% gli attacchi cyber dall’Iran e Hezbollah”, con 3.380 incidenti documentati inclusi 800 ritenuti significativi dai ricercatori di sicurezza.

In base ai dati citati da Positive Technologies Security, l’Arabia Saudita è diventata il paese più colpito nella regione, risultando destinataria di circa il 40% degli incidenti cyber, con costi medi di 8,75 milioni di dollari per incidente: quasi il doppio della media globale.

La risposta del Regno include l’implementazione dei Controlli Essenziali di Cybersicurezza (ECC) e, secondo analisti locali, la cooperazione «dietro le quinte» con Israele sulla difesa cyber, nonostante l’assenza di relazioni diplomatiche formali.

Gli Emirati Arabi Uniti hanno sviluppato partnership simili attraverso la dimensione cyber degli Accordi di Abramo, ospitando importanti conferenze di cybersicurezza e collaborando su sistemi di difesa basati sull’IA.

Vulnerabilità delle infrastrutture critiche

Le dinamiche regionali hanno creato nuove vulnerabilità. Lo Stretto di Hormuz, attraverso il quale passa il 25% del commercio petrolifero marittimo globale, rappresenta un punto critico vulnerabile alla disrupzione cyber. Diversi servizi di intelligence hanno documentato infiltrazioni iraniane dei fornitori di telecomunicazioni negli Stati del Golfo.

Inoltre, lo sviluppo dell’infrastruttura 5G crea superfici di attacco aggiuntive che gli attori statali stanno attivamente esplorando. Il World Economic Forum ha evidenziato come “gli stati del GCC stiano rafforzando la loro resilienza di cybersicurezza nell’era digitale” in risposta a queste crescenti minacce.

Il conflitto del giugno 2025: integrazione cyber-cinetica

Operazione Rising Lion: un nuovo paradigma di guerra

Il conflitto del giugno 2025 ha rappresentato un punto di svolta nella guerra moderna. Il conflitto, anche noto come Guerra dei Dodici Giorni (13 giugno – 24 giugno 2025), iniziò con attacchi a sorpresa israeliani su strutture militari e nucleari chiave in Iran.

Come documentato dalla CNN, “Israele ha colpito il cuore del complesso nucleare, missilistico e militare iraniano” nell’operazione “Rising Lion”. Il Primo Ministro Netanyahu ha annunciato che “Israele ha lanciato l’operazione Rising Lion, un’operazione militare mirata per far arretrare la minaccia iraniana alla sopravvivenza stessa di Israele”.

Il conflitto ha dimostrato l’integrazione senza precedenti di cyber-operazioni israeliane e militari convenzionali. Secondo l’analisi del Center for Strategic and International Studies, “l’operazione israeliana denominata Rising Lion si è sviluppata in due atti distinti ma mutuamente rinforzanti”, combinando “sciami di piccoli droni esplosivi che i commando israeliani avevano posizionato in Iran mesi prima” con “oltre 200 aerei da combattimento israeliani”.

Analisi tattica e strategica

Secondo l’US Naval Institute Proceedings, “gli attacchi iniziali sembravano comprendere due componenti principali: attacchi tradizionali a lungo raggio multi-aereo e attacchi drone a corto raggio”, con “più di 200 aerei da combattimento che trasportavano una varietà di armi” contro “oltre 100 obiettivi nucleari e militari in tutto l’Iran, inclusi leader militari”.

Il Royal United Services Institute (RUSI) ha ricostruito che “l’Operazione Rising Lion ha dimostrato la vasta superiorità convenzionale che Israele gode sull’Iran, evidenziando l’importanza di intelligence, sorpresa e difesa aerea e missilistica efficaci”.

L’operazione è stata progettata per durare una settimana e ha coinvolto “oltre 200 aerei da combattimento che colpiscono oltre cento obiettivi” nelle prime 24 ore.

Nell’analisi dell’Hudson Institute, “il 13 giugno, la Repubblica Islamica dell’Iran ha sperimentato un collasso strategico che ha alterato l’equilibrio di potere in Medio Oriente” attraverso l’eliminazione di “personale militare e scientifico iraniano chiave” nonché il degrado delle “infrastrutture missilistiche del paese e i sistemi di allarme precoce”.

Componenti cyber dell’operazione

L’aspetto più innovativo dell’operazione Rising Lion è stata l’integrazione di operazioni cyber sofisticate. Secondo il Center for Strategic and International Studies (CSIS), “i video pubblicati dal governo israeliano indicano una combinazione di intelligence e forze speciali israeliane che hanno eseguito raid DEAD simili all’Operazione Spiderweb dell’Ucraina”.

Il personale israeliano, “che secondo quanto riferito operava all’interno dell’Iran da mesi, ha eseguito attacchi tattici con droni sui siti di difesa aerea e missili balistici iraniani”.

Come riportato dall’Atlantic Council, il conflitto ha rivelato che “mentre le operazioni cyber forniscono vantaggi tattici e effetti psicologici, rimangono più efficaci quando integrate con operazioni cinetiche piuttosto che come strumenti strategici autonomi”.

La risposta internazionale

Come riportato da Al Jazeera, “un cessate il fuoco mediato da Trump è in vigore per ora” dopo che “Israele e Iran sono passati da una guerra in escalation a un fragile cessate il fuoco” il 24 giugno 2025.

Il conflitto ha coinvolto direttamente gli Stati Uniti, con il Presidente Trump che avrebbe “ordinato supporto a Israele” e bombardato “tre siti nucleari iraniani” il 22 giugno.

In occasione del vertice 2025 in Canada, i leader del G7 hanno emesso una dichiarazione che recitava:

“Affermiamo che Israele ha il diritto di difendersi”, mentre un sondaggio degli elettori di Trump ha mostrato che “il 53% ha detto che gli Stati Uniti non dovrebbero essere coinvolti nel conflitto Iran-Israele”.

Implicazioni internazionali: il futuro della guerra cibernetica

Sfide normative internazionali

Il conflitto cyber israeliano-iraniano ha profonde implicazioni per la sicurezza internazionale. Secondo un documento dello United Nations Office for Disarmament Affairs (UNODA), le 11 norme volontarie delle Nazioni Unite per il comportamento responsabile degli stati nel cyberspazio mancano di meccanismi di applicazione efficaci.

Queste includono la protezione delle infrastrutture critiche, la cooperazione nelle indagini criminali e il rispetto dei diritti umani nel cyberspazio.

Come analizzato dal Center for Strategic and International Studies, “creare responsabilità per le norme cyber globali” rimane una sfida significativa per la comunità internazionale. Il Manuale di Tallinn fornisce linee guida sulle operazioni cyber sotto il diritto internazionale, ma i requisiti di attribuzione e le soglie per l’attacco armato rimangono contestati.

Stuxnet ha stabilito un precedente per operazioni cyber sotto la soglia del conflitto armato tradizionale: tuttavia l’integrazione di operazioni cyber nella guerra cinetica, osservata nel corso del 2025, rappresenta un’evoluzione verso il trattamento del cyberspazio come un dominio convenzionale di guerra.

Sviluppi tecnologici e minacce emergenti

La sofisticazione tecnica continua ad avanzare rapidamente. L’integrazione dell’intelligenza artificiale migliora sia le capacità offensive che difensive, come documentato nei report di Google Cloud sulla “minaccia dell’uso improprio dell’IA generativa”.

Contemporaneamente, gli sviluppi del quantum computing minacciano gli standard di crittografia attuali, potenzialmente rivoluzionando la guerra cibernetica entro il prossimo decennio.

La proliferazione di gruppi hacktivist crea sfide di attribuzione e rischi di escalation dei conflitti. Durante il conflitto del 2025, secondo Flashpoint, sono stati “tracciati oltre 170 gruppi” che operavano su entrambi i lati, creando “sfide di attribuzione e rischi di escalation poiché gli attori statali utilizzano sempre più questi gruppi per una negazione plausibile”.

Convergenza di minacce statali e criminali

La convergenza tra attori statali e reti cybercriminali crea nuove minacce ibride inasprite da pressioni economiche e sanzioni. La cooperazione iraniana con Russia e Cina sulle capacità cyber, documentata dai servizi di intelligence occidentali, minaccia di accelerare lo sviluppo delle capacità.

La frammentazione nelle capacità cyber a livello regionale riduce le opportunità di cooperazione proprio quando la difesa collettiva diventa più critica.

L’Unione Europea ha sviluppato il Cyber Diplomacy Toolbox, che fornisce quadri per sanzioni e risposte diplomatiche; ma lotta con le sfide di attribuzione e la velocità delle operazioni cyber.

Implicazioni strategiche e sfide operative

Lezioni apprese e limitazioni

Le recenti cyber-operazioni israeliane rivelano una strategia sofisticata che include obiettivi multipli: degradare le capacità nucleari iraniane, imporre costi economici, creare pressione politica interna e dimostrare capacità deterrenti.

Il targeting di precisione delle infrastrutture critiche, evitando vittime civili di massa, riflette una gestione dell’escalation progettata per ottenere effetti strategici senza scatenare una guerra generalizzata.

Tuttavia, persistono sfide significative. L’attacco di Hamas del 7 ottobre 2023 ha rappresentato un importante fallimento dell’intelligence israeliana, nonostante le sofisticate capacità dell’Unità 8200.

Come riportato da The New York Times nel novembre 2023:

“un analista veterano dell’Unità 8200 aveva avvertito a luglio che Hamas si stava preparando per un attacco transfrontaliero” ma “le preoccupazioni dell’analista furono respinte dalla leadership militare senior come totalmente immaginarie”.

Secondo l’Institute for Defense Analyses, questo evento ha evidenziato “i fallimenti dell’intelligence israeliana prima dell’attacco di Hamas del 7 ottobre”, nonché “i limiti dell’intelligence tecnica quando si affrontano avversari determinati che impiegano rigorose pratiche di sicurezza operativa”.

Controversie etiche e accountability

Anche a livello etico non mancano zone d’ombra e preoccupazioni, condivise persino dagli stessi membri dell’intelligence israeliana: nel 2014, 43 veterani dell’Unità 8200 hanno pubblicato una lettera condannando le operazioni di sorveglianza sui civili palestinesi e rifiutandosi di partecipare alle operazioni nei territori occupati, sostenendo che tali attività violassero i diritti umani fondamentali.

Amnesty International ha evidenziato l’uso del sistema di riconoscimento facciale Red Wolf per limitare la libertà di movimento dei palestinesi. L’organizzazione descrive “Red Wolf come un sistema di riconoscimento facciale utilizzato dalle forze armate israeliane ai checkpoint nella città di Hebron, nella Cisgiordania occupata” che “utilizza dati biometrici per determinare se un individuo può passare attraverso il checkpoint“.

Prospettive future e corsa agli armamenti

La corsa agli armamenti cyber nella regione non mostra segni di rallentamento. L’Iran ha sviluppato capacità significative attraverso gruppi come APT33, APT34 e APT35, mentre mantiene una rete di proxy regionali che includono Hezbollah in Libano e gli Houthi in Yemen.

La cooperazione cyber di Teheran con Mosca e Pechino, secondo i servizi di intelligence occidentali, include condivisione di strumenti, tecniche e informazioni che accelera lo sviluppo delle capacità di tutti e tre i paesi.

Infine, la convergenza di attori statali con reti cybercriminali crea nuove minacce ibride, dove le sanzioni economiche spingono gli Stati a utilizzare anche metodi criminali per generare entrate.

Conclusioni: la nuova realtà del conflitto cyber persistente

L’eredità di trasformazione dell’Unità 8200

Le cyber-operazioni israeliane e le attività dell’Unità 8200 hanno trasformato irreversibilmente la guerra del XXI secolo: l’evoluzione avvenuta dall’attacco chirurgico di Stuxnet alle campagne integrate di guerra cyber-cinetica del 2025 mostra la maturazione delle operazioni cyber da strumenti sperimentali a componenti centrali della strategia militare contemporanea.

Il duplice ruolo dell’Unità 8200 – da un lato centro di intelligence militare, dall’altro incubatore tecnologico – ha creato un ecosistema dove gli imperativi di sicurezza nazionale guidano l’innovazione commerciale.

Questo modello ha prodotto leader globali della cybersicurezza come Check Point, Palo Alto Networks e CyberArk, attraverso continue innovazioni nelle capacità offensive e difensive.

Precedenti stabiliti e implicazioni strategiche

Durante il conflitto tra Israele e Iran del giugno 2025, l’integrazione delle cyber-operazioni israeliane con l’azione militare convenzionale ha stabilito nuovi precedenti per i conflitti futuri.

Come documentato dal Center for Strategic and International Studies nell’analisi post-conflitto, il successo dell’Operazione Rising Lion ha dimostrato che “la guerra moderna combina scala e precisione” attraverso “navigazione autonoma, progetti attribile a basso costo e reti di intelligence cross-domain” che permettono ai pianificatori di “coreografare centinaia di punti di mira su distanze massive”.

In altre parole, mentre le operazioni cyber da sole raramente raggiungono risultati strategici decisivi, la loro sincronizzazione con le operazioni cinetiche moltiplica significativamente l’efficacia del campo di battaglia.

Infine, l’impatto psicologico di simili operazioni – dimostrare la capacità di penetrare i sistemi più protetti degli avversari – potrebbe rivelarsi tanto prezioso quanto gli effetti operativi.

Sfide per il futuro e implicazioni globali

Tuttavia, questa nuova realtà comporta implicazioni preoccupanti per la stabilità internazionale. La normalizzazione degli attacchi alle infrastrutture civili, l’erosione dei tradizionali meccanismi di controllo delle escalation e la difficoltà di attribuzione delle responsabilità nel cyberspazio creano un’instabilità persistente.

L’assenza di meccanismi di governance internazionale efficaci, come sottolineato dalle analisi delle Nazioni Unite, significa che questa «guerra ombra» continuerà probabilmente a intensificarsi.

Come osservato da War on the Rocks circa le lezioni del conflitto tra Israele e Iran, “il dominio nelle capacità cyber e di intelligence può fornire vantaggi temporanei ma non può sostituire strategie politiche sostenibili per gestire conflitti regionali”. Le operazioni cyber creano infatti nuove vulnerabilità e dipendenze, che possono essere sfruttate da avversari determinati.

L’era del campo di battaglia ibrido

Man mano che l’IA e il quantum computing rivoluzionano le capacità cyber, le innovazioni pionieristiche dell’Unità 8200, testate nel conflitto israelo-iraniano, plasmeranno le dinamiche di sicurezza globale per i decenni a venire. La capacità di condurre operazioni simultanee nel dominio fisico e digitale è diventata un moltiplicatore di forza critico.

Comprendere le cyber-operazioni israeliane – in termini di sofisticazione tecnica, strategia e limitazioni – diventa essenziale per i decisori politici, i professionisti della sicurezza e i cittadini che navigano in un’era dove il campo di battaglia digitale è diventato tanto importante quanto quello fisico.

Il conflitto del giugno 2025 ha dimostrato definitivamente che il campo di battaglia digitale non è una frontiera teorica, ma una realtà operativa consolidata. Gli architetti della guerra cibernetica dell’Unità 8200 hanno stabilito un modello che combina innovazione strategica e integrazione operativa, creando capacità che ridefiniscono i parametri del potere nazionale nel XXI secolo.

Mentre entriamo in un’era di conflitto ibrido persistente – dove le linee tra pace e guerra, civile e militare, fisico e digitale continuano a sfumare – l’esperienza dell’Unità 8200 può aiutarci a comprendere come le nazioni tecnologicamente avanzate modelleranno il futuro della sicurezza globale.

Vuoi rimanere aggiornato sulle ultime evoluzioni delle cyber-operazioni israeliane e sulla sicurezza informatica in Medio Oriente? Iscriviti alla nostra newsletter per ricevere analisi approfondite, report esclusivi e aggiornamenti in tempo reale sul conflitto cyber israelo-iraniano.

Industrial Cybersecurity

https://www.ictsecuritymagazine.com/articoli/cyber-operazioni-israeliane/

Google Threat Intelligence Group (GTIG) and Mandiant have continued to analyze the recent Oracle E-Business Suite (EBS) extortion campaign and their researchers have identified some of the pieces of malware deployed in the attacks.

The attacks came to light on October 2, when GTIG and Mandiant warned that executives at many organizations using Oracle EBS had received extortion emails. It has since been determined that hackers likely exploited known EBS vulnerabilities patched in July, likely along with a zero-day flaw tracked as CVE-2025-61882.

The hacker groups ShinyHunters and Scattered Spider (now calling themselves Scattered LAPSUS$ Hunters) have published a proof-of-concept (PoC) exploit that appears to target CVE-2025-61882, but it’s still unclear which other CVEs are involved in the exploit chain. It’s worth noting that even on its own, according to Oracle, CVE-2025-61882 allows unauthenticated remote code execution.

CrowdStrike has found evidence that exploitation of CVE-2025-61882 started on August 9. A blog post published on Thursday by GTIG and Mandiant reveals that some suspicious activity was seen as early as July 10, right before Oracle published its July patches. 

GTIG and Mandiant have not obtained definitive proof, but they say it’s plausible that the July 10 activity was an early attempt to exploit EBS servers. 

GTIG and Mandiant researchers have also analyzed the exploit chain and malware deployed in the Oracle EBS campaign.

The attackers created a malicious template in vulnerable Oracle EBS databases, which stored a payload triggered in the final stage of the exploit chain. 

Two types of payloads have been identified in the malicious templates. One of them is a downloader tracked by Google as GoldVein.Java, which attempts to fetch a second-stage payload from a C&C server. However, the tech giant’s researchers have not been able to retrieve this second-stage payload.

The second payload delivered through malicious templates is actually a “nested chain of multiple Java payloads”. A loader named SageGift loads a dropper named SageLeaf, which in turn installs a Java servlet filter named SageWave that enables the threat actor to deploy the final payload. Again, the final payload could not be retrieved by the researchers. 

GoldVein, SageGift, SageLeaf, and SageWave have been described as sophisticated, multi-stage, fileless malware that can evade file-based detection.

The Cl0p name has been used in the extortion emails sent to victims (likely due to Cl0p’s reputation), but GTIG and Mandiant immediately discovered some links to a cybercrime group tracked as FIN11, based on the compromised email accounts used to send out the extortion messages. 

GTIG said it has yet to attribute the attack to a specific threat group, but pointed out that it has found further links to FIN11, which appears to have multiple activity clusters. Connections to FIN11 include the hackers being known for using Cl0p ransomware, and the malware used in the latest attacks being similar to malware previously linked to FIN11. 

Despite them leaking the PoC exploit, there is no evidence that the Scattered LAPSUS$ Hunters hackers were involved in the Oracle campaign. 

Google researchers believe dozens of organizations have been hit, and noted that the hackers managed to steal significant amounts of data from some of the victims. 

This is not surprising, as the previous large-scale campaigns linked to FIN11 and Cl0p — they targeted Cleo, MOVEit, Fortra and Accellion file transfer products via zero-day flaws — also resulted in large amounts of information being stolen, in some cases from hundreds of organizations.   

The Cl0p leak website currently displays a message suggesting that victims of the Oracle EBS campaign will soon be named unless they pay a ransom. However, similar to the previous Cl0p extortion campaigns, it will likely take weeks for the victims to be named.

Related: Recent Fortra GoAnywhere MFT Vulnerability Exploited as Zero-Day     

Related: All SonicWall Cloud Backup Users Had Firewall Configurations Stolen

https://www.securityweek.com/sophisticated-malware-deployed-in-oracle-ebs-zero-day-attacks/

A significant number of organizations have received extortion emails from hackers who claim to have stolen sensitive information from their Oracle E-Business Suite instances, Google’s Threat Intelligence Group and Mandiant unit warn.

Oracle E-Business Suite (EBS) is a suite of integrated business applications used by large organizations to automate and manage business processes. Oracle says thousands of organizations around the world use this enterprise resource planning (ERP) system.

According to Google Threat Intelligence Group (GTIG) and Mandiant, the malicious activity allegedly targeting Oracle EBS appears to have started on or around September 29. The attackers have sent extortion emails to executives at “numerous” companies, claiming to be affiliated with the notorious Cl0p cybercrime group.

GTIG and Mandiant researchers have described the attacks as a high-volume email campaign leveraging hundreds of compromised accounts, including ones previously linked to a profit-driven threat group named FIN11. This long-running cybercrime gang is known to engage in ransomware deployment and extortion.

The researchers also found some evidence indicating a connection to Cl0p. Specifically, the contact information provided by the attackers in the emails sent to targeted organizations matches contact addresses listed on the Cl0p leak website.

Mandiant and GTIG said they are in the early stages of their investigations and could not confirm whether the hackers’ claims are substantiated. 

“It is critical to note that while the tactics align with an extortion motive and the actor is explicitly claiming this connection, GTIG does not currently have sufficient evidence to definitively assess the veracity of these claims,” said Charles Carmakal, CTO of Mandiant.

Carmakal added, “Attribution in the financially motivated cybercrime space is often complex, and actors frequently mimic established groups like Clop to increase leverage and pressure on victims.”

If Cl0p or FIN11 hackers are confirmed to be behind the attacks, it would not come as a surprise. Both groups are known to launch campaigns that target many organizations through vulnerable software, often via the exploitation of zero-day flaws. 

Cl0p last year claimed to have stolen data from dozens of organizations after exploiting a zero-day vulnerability in Cleo file transfer tools. The group previously managed to steal the information of tens of millions of users from thousands of organizations through the exploitation of a zero-day in MOVEit Transfer file transfer software. 

In addition, Cl0p was blamed for a 2023 attack that involved a Fortra GoAnywhere managed file transfer product zero-day and which hit dozens of organizations. 

A few years ago, the FIN11 group was behind a similar campaign that involved the theft of sensitive data from dozens of organizations that had been using an Accellion file transfer service. That campaign also involved the exploitation of a zero-day vulnerability. 

In some campaigns analyzed in the past, researchers had found links between Cl0p and FIN11. 

SecurityWeek has reached out to Oracle for comment and will update this article if the company responds.

Related: Infostealers: The Silent Smash-and-Grab Driving Modern Cybercrime

Related: Recent Fortra GoAnywhere MFT Vulnerability Exploited as Zero-Day

https://www.securityweek.com/cybercriminals-claim-theft-of-data-from-oracle-e-business-suite-customers/

Japanese brewing giant Asahi Group Holdings on Monday announced that its operations in the country have been disrupted by a cyberattack.

The incident, the company said, resulted in system failures that affected orders and shipments at all its subsidiaries in the country, as well as call center operations, customer service desks included.

Reuters reported that production at some of Asahi’s 30 domestic factories has been suspended due to the cyberattack.

“At this time, there has been no confirmed leakage of personal information or customer data to external parties,” the company said in a Monday notice.

Asahi said it is investigating the attack and working on restoring the affected systems, but could not provide an estimated timeline for recovery.

“The system failure is limited to our operations within Japan,” it said.

The company has not disclosed the nature of the cyberattack it fell victim to, but the system-wide outage could indicate that file-encrypting ransomware might have been used.

SecurityWeek has emailed Asahi for additional information on the attack and will update this article if the company responds.

One of the largest breweries in Japan, Asahi owns several known international beer brands, such as Grolsch, Peroni, and Pilsner Urquell, as well as Fullers in the UK, which produces London Pride.

“While the disruption is currently confined to one country, Asahi has a significant market share in Japan of almost 40%. Therefore, disruption to production will be costly to Asahi and potentially re-sellers,” Immersive senior cyber manager Kevin Marriott said.

“As we have seen recently with the retail sector and JLR, production and supply chain halts can be extremely expensive for businesses. This is why having procedures in place that protect operations is crucial,” Marriott added.

Related: British Department Store Harrods Warns Customers That Some Personal Details Taken in Data Breach

Related: RTX Confirms Airport Services Hit by Ransomware

Related: Hackers Target Casino Operator Boyd Gaming

Related: With Intelligence, Fans, Businesses and NFL Can Remain Protected Against Cyber Threats

https://www.securityweek.com/cyberattack-on-beer-giant-asahi-disrupts-production/

Two teenage boys were arrested in the Netherlands over suspicions of spying for pro-Russian hackers, Dutch authorities announced.

The two 17-year-old boys were allegedly approached by the hackers on Telegram, a messaging application popular among cybercriminals and state-sponsored threat actors.

According to local media, one of the boys was allegedly seen walking by Europol and Eurojust headquarters, and the Canadian embassy, while carrying a Wi-Fi sniffer, which is used to map Wi-Fi networks and intercept data.

Prosecutors confirmed the arrests, saying that the teens were suspected of links to “government-sponsored interference”.

One of the boys was placed on home bail, wearing an ankle monitor, while the other remained in custody. Their hearing should take place within two weeks.

According to media reports, the teen that remained in custody was arrested while doing his homework. The investigators executed a search warrant at his home and seized electronic equipment.

The boy’s father reportedly said that his son has a part-time job, is a heavy gamer and is computer savvy, with a fascination for hacking.

Similar incidents involving individuals recruited by Russian hackers were recently reported in Germany and Ukraine. The Russian threat actors reportedly lured teenagers into performing mild vandalism acts against official buildings, or to film government infrastructure.

Related: Interpol Says 260 Suspects in Online Romance Scams Have Been Arrested in Africa

Related: European Airport Cyberattack Linked to Obscure Ransomware, Suspect Arrested

Related: Scattered Spider Suspect Arrested in US

Related: France Says Administrator of Cybercrime Forum XSS Arrested in Ukraine

https://www.securityweek.com/dutch-teens-arrested-for-allegedly-helping-russian-hackers/

A crackdown on cybercrime coordinated by Interpol has led to the arrests across 14 African countries of 260 people suspected in online romance and extortion scams, the organization announced Friday.

The operation took place in July and August and focused on scams in which perpetrators build online romantic relationships to extract money from targets or blackmail them with explicit images, Interpol said.

Altogether the scams targeted more than 1,400 victims who lost nearly $2.8 million, the international police organization said.

“Cybercrime units across Africa are reporting a sharp rise in digital-enabled crimes such as sextortion and romance scams,” Cyril Gout, acting executive director of police services at Interpol, said in the statement.

“The growth of online platforms has opened new opportunities for criminal networks to exploit victims, causing both financial loss and psychological harm,” he added.

Interpol says Ghanaian authorities arrested 68 suspects in romance and sextortion scams. They are accused of using fake identities to trick victims into paying fake shipment fees and secretly recorded explicit videos for blackmail.

In Senegal, police arrested 22 suspects who allegedly posed as celebrities on social media and dating platforms to scam over 100 people out of around $34,000, Interpol said.

The organization also said authorities in Ivory Coast arrested 24 suspects accused of using fake profiles to obtain and blackmail victims with intimate images.

Interpol, which has 196 member countries, is the world’s largest international police network to combat international crime. Headquartered in Lyon, France, it works to help national police forces communicate with each other and track suspects and criminals in areas like counterterrorism, financial crime, child pornography, cybercrime and organized crime.

In recent years it has grappled with new challenges including a growing caseload of cybercrime and child sex abuse, and increasing divisions among its member countries.

https://www.securityweek.com/interpol-says-260-suspects-in-online-romance-scams-have-been-arrested-in-africa/

Authorities in the UK have arrested and charged two individuals for their alleged roles in the infamous hacking group Scattered Spider. One of them has been charged in the US as well.

The suspects, Thalha Jubair, 19, from East London, and Owen Flowers, 18, from Walsall, West Midlands, were charged in the UK for a cyberattack on Transport for London (TfL) that disrupted certain services, with no actual impact on transportation.

Flowers was initially arrested in September 2024 in connection with the attack, but the investigators have uncovered evidence linking him to intrusions at US healthcare organizations and have now brought additional charges against him.

On Thursday, US law enforcement unsealed a complaint charging Jubair over his alleged involvement in over 120 cyberattacks against organizations worldwide, including 47 US entities.

According to the complaint, Jubair (aka ‘EarthtoStar’, ‘Brad’, ‘Austin’, and ‘@autistic’) and his co-conspirators used social engineering to hack into organizations’ networks, stole and encrypted data, and extorted the victims by demanding ransom payments in exchange for not leaking the stolen data online.

Between May 2022 and September 2025, the complaint alleges, Jubair and his co-conspirators hacked into at least 120 networks and received more than $115 million in ransom payments.

“These malicious attacks caused widespread disruption to U.S. businesses and organizations, including critical infrastructure and the federal court system, highlighting the significant and growing threat posed by brazen cybercriminals,” Acting Assistant Attorney General Matthew R. Galeotti said.

According to the complaint, Jubair was in control of wallets and servers in which approximately $36 million in cryptocurrency was stored. In July 2024, when authorities were seizing the servers, Jubair transferred approximately $8.4 million to another wallet.

The US charged Jubair with computer fraud, wire fraud, and money laundering conspiracy. He faces up to 95 years in prison.

Over the past year, authorities have arrested, charged, and sentenced several other individuals for their alleged ties with the Scattered Spider group.

The latest arrests and charges were announced just as the Scattered Spider hacking group, also known as Octo Tempest, UNC3944, and 0ktapus, announced its retirement.

The cybersecurity industry is skeptical of the claims, and ReliaQuest has since found evidence that the cybercriminals continue to be active, with their latest attacks targeting the financial sector. 

Related: BreachForums Owner Sent to Prison in Resentencing

Related: US Announces Botnet Takedown, Charges Against Russian Administrators

Related: Developer Who Hacked Former Employer’s Systems Sentenced to Prison

Related: VP Harris Says US Agencies Must Show Their AI Tools Aren’t Harming People’s Safety or Rights

https://www.securityweek.com/two-scattered-spider-suspects-arrested-in-uk-one-charged-in-us/

Nel panorama contemporaneo della cybersecurity, caratterizzato da minacce in costante evoluzione e attacchi sempre più sofisticati, l’approccio noto come “security by obscurity” o “sicurezza tramite oscuramento” rappresenta una metodologia controversa e spesso inefficace. Questo articolo esamina criticamente tale strategia, analizzandone le limitazioni intrinseche, i rischi associati e le alternative più efficaci nel contesto della protezione contro il cybercrime. Attraverso un’analisi approfondita della letteratura scientifica e delle raccomandazioni istituzionali, si dimostra come la security by obscurity non debba mai costituire il pilastro principale di una strategia di cybersecurity.

Security by Obscurity: definizione e rischi nella cybersecurity moderna

La security by obscurity, definita come la pratica di nascondere i dettagli o i meccanismi di un sistema per migliorarne la sicurezza, ha radici storiche profonde nella crittografia militare e civile. Il principio di Kerckhoffs, formulato nel 1883, stabiliva che un sistema crittografico dovrebbe essere sicuro anche se tutto del sistema, eccetto la chiave, è di conoscenza pubblica³. Questo principio fondamentale ha plasmato l’approccio moderno alla cybersecurity, mettendo in discussione l’efficacia dell’oscuramento come strategia primaria di difesa.

Nel contesto odierno del cybercrime, dove il costo globale è stimato a quasi 1 trilione di dollari nel 2020, con un incremento superiore al 50% rispetto al 2018¹, è cruciale comprendere perché la security by obscurity rappresenti un approccio fondamentalmente inadeguato come strategia principale di protezione.

Definizione e caratteristiche della Security by Obscurity

Concetti fondamentali

La security by obscurity è la pratica di nascondere i dettagli o i meccanismi di un sistema per migliorarne la sicurezza, basandosi sul principio di nascondere qualcosa in piena vista, simile ai giochi di prestigio di un mago o all’uso del camuffamento². Questa metodologia diverge dai metodi di sicurezza tradizionali e si concentra sull’offuscare informazioni o caratteristiche per scoraggiare potenziali minacce.

Esempi pratici nel cybercrime

Nel panorama del cybercrime contemporaneo, la security by obscurity si manifesta in diverse forme:

• Nascondere interfacce amministrative: Modificare gli URL di default delle pagine di amministrazione
• Offuscamento del codice: Rendere difficile la lettura del codice sorgente
• Port knocking: Nascondere servizi dietro sequenze di connessioni specifiche
• Mascheramento delle tecnologie: Rimuovere header HTTP che rivelano versioni di software

L’Opposizione istituzionale alla Security by Obscurity

Raccomandazioni del NIST

Il National Institute of Standards and Technology (NIST) degli Stati Uniti raccomanda esplicitamente contro questa pratica: “La sicurezza del sistema non dovrebbe dipendere dalla segretezza dell’implementazione o dei suoi componenti”⁴. Questa posizione istituzionale si basa su evidenze empiriche e ricerche approfondite che dimostrano l’inefficacia dell’oscuramento come strategia primaria.

Common Weakness Enumeration (CWE-656)

Il progetto Common Weakness Enumeration elenca “Reliance on Security Through Obscurity” come CWE-656, definendola come una debolezza che si verifica quando un prodotto utilizza un meccanismo di protezione la cui forza dipende pesantemente dalla sua oscurità⁵. Questa classificazione ufficiale sottolinea come l’affidamento primario sull’oscuramento sia riconosciuto a livello internazionale come una vulnerabilità significativa.

Principi OWASP

L’Open Web Application Security Project (OWASP) stabilisce chiaramente che “la security by obscurity non dovrebbe mai essere utilizzata come unico meccanismo di sicurezza”⁶. Tra i dieci principi fondamentali di sicurezza OWASP, il principio “Avoid security by obscurity” occupa una posizione centrale, enfatizzando l’importanza di controlli di sicurezza solidi indipendenti dall’occultamento.

Analisi critica: perché la Security by Obscurity Fallisce

Vulnerabilità intrinseche

La security by obscurity presenta diverse vulnerabilità fondamentali che la rendono inadeguata come strategia primaria:

1. Falso senso di sicurezza

L’affidamento esclusivo sull’oscurità può portare a un falso senso di sicurezza, poiché una volta che “il gatto è fuori dal sacco”, la sicurezza può essere severamente compromessa⁷. Questa caratteristica rappresenta un rischio sistemico significativo nelle infrastrutture critiche.

2. Facilità di Reverse Engineering

Nel panorama contemporaneo del cybercrime, gli attaccanti dispongono di strumenti sofisticati per il reverse engineering. La pubblicazione di algoritmi crittografici non compromette la sicurezza, poiché è solo questione di tempo prima che un attaccante scopra come funziona il sistema crittografico⁸.

3. Scalabilità limitata

L’oscuramento presenta sfide significative in termini di scalabilità e manutenzione. L’eccessivo tentativo di nascondere tutti i dettagli del sistema può sovraccaricare i team di sicurezza IT, contribuendo al burnout e riducendo l’efficacia⁹.

Evidenze storiche di fallimenti

La storia della cybersecurity è costellata di esempi in cui la security by obscurity ha fallito:

Un gran numero di sistemi crittografici per telecomunicazioni e gestione dei diritti digitali utilizzano la security by obscurity, ma sono stati infine violati, inclusi componenti di GSM, crittografia GMR, crittografia GPRS, numerosi schemi di crittografia RFID e più recentemente Terrestrial Trunked Radio (TETRA)¹⁰.

Il Principio di Kerckhoffs: fondamento teorico dell’opposizione

Origini e formulazione

Auguste Kerckhoffs formulò alla fine del diciannovesimo secolo il principio secondo cui un sistema crittografico dovrebbe essere sicuro anche se tutto del sistema, eccetto la chiave, è di conoscenza pubblica¹¹. Questo principio, noto come Principio di Kerckhoffs, costituisce il fondamento teorico dell’opposizione moderna alla security by obscurity.

Reformulazione di Shannon

Il principio di Kerckhoffs è stato riformulato da Claude Shannon come “Il nemico conosce il sistema”, forma in cui è conosciuto come massima di Shannon¹². Questa reformulazione enfatizza l’importanza di progettare sistemi di sicurezza assumendo che gli attaccanti abbiano accesso completo alle informazioni sul sistema.

Applicazioni moderne

Il principio di Kerckhoffs è applicato in virtualmente tutti gli algoritmi di crittografia contemporanei (DES, AES, ecc.), che sono considerati sicuri e accuratamente studiati, dove la sicurezza del messaggio crittografato dipende esclusivamente dalla sicurezza della chiave di crittografia segreta¹³.

Alternative efficaci: Security by Design e Defense in Depth

Security by Design

La security by design è un approccio che implementa misure di sicurezza fin dalle prime fasi del ciclo di vita dello sviluppo software (SDLC), riconoscendo l’importanza di minimizzare i rischi basati su software nell’ambito dell’open source enterprise¹⁴.

Principi fondamentali

La security by design si basa su principi consolidati:

1. Principio del Privilegio Minimo: I sistemi e i processi dovrebbero essere progettati in modo che l’accesso e i permessi siano limitati, con ruoli che devono essere rivisti, concordati e regolarmente verificati dal personale aziendale¹⁵
2. Defense in Depth: Costruire difese in più livelli che si supportino a vicenda, costringendo gli attaccanti a sconfiggere livelli indipendenti, evitando così singoli punti di fallimento¹⁶
3. Fail Secure: Progettare sistemi che falliscano in modalità sicura quando si verificano errori

Implementazione pratica

La security by design significa impostare sistemi che comunicheranno quando la sicurezza designata fallisce, utilizzando principi come la separazione fisica degli accessi e la riduzione della superficie di attacco¹⁷.

Framework di riferimento per professionisti della cybersecurity

NIST Cybersecurity Framework 2.0

Il NIST Cybersecurity Framework fornisce una guida completa e best practice che le organizzazioni del settore privato possono seguire per migliorare la sicurezza delle informazioni e la gestione del rischio di cybersecurity¹⁸. Il framework è strutturato intorno a cinque funzioni principali:

1. Identify (Identificare)
2. Protect (Proteggere)
3. Detect (Rilevare)
4. Respond (Rispondere)
5. Recover (Recuperare)

Implementazione strategica

Il NIST CSF non è una checklist che le organizzazioni possono utilizzare per “risolvere” i rischi di cybersecurity, ma definisce un insieme di risultati che il programma di cybersecurity dovrebbe essere in grado di raggiungere¹⁹.

Ruolo limitato ma legittimo dell’oscuramento

Difesa in profondità

Nonostante le criticità evidenziate, è importante riconoscere che l’oscuramento può avere un ruolo limitato all’interno di una strategia di difesa stratificata. Il framework di cyber resilienza NIST 800-160 Volume 2 raccomanda l’uso della security by obscurity come parte complementare di un ambiente informatico resiliente e sicuro²⁰.

Condizioni per l’uso appropriato

L’oscuramento può essere appropriato quando:

1. Non costituisce la difesa primaria: Deve essere sempre un livello aggiuntivo, mai principale
2. È trasparente ai processi operativi: Non deve interferire con le operazioni normali
3. È combinato con controlli robusti: Deve supportare, non sostituire, misure di sicurezza solide

L’oscurità può essere una piccola parte della defense in depth, poiché può creare più lavoro per un attaccante; tuttavia, rappresenta un rischio significativo se utilizzata come mezzo primario di protezione²¹.

Raccomandazioni per i professionisti della cybersecurity

Strategie di implementazione

1. Prioritizzazione delle Difese: Implementare prima i livelli di sicurezza più efficaci: aggiornamenti, password forti, autenticazione a due fattori, SSL e limitazione dei tentativi di login²²
2. Threat Modeling Integrato: Il threat modeling dovrebbe essere integrato nelle sessioni di perfezionamento, cercando cambiamenti nei flussi di dati e nel controllo degli accessi o altri controlli di sicurezza²³
3. Monitoraggio Continuo: Implementare sistemi di monitoraggio che non dipendano dall’oscuramento per la loro efficacia

Metriche e valutazione

I professionisti dovrebbero implementare metriche che valutino l’efficacia della sicurezza indipendentemente dall’oscuramento:

• Tempo di rilevamento delle intrusioni
• Efficacia dei controlli di accesso
• Robustezza della crittografia
• Resilienza agli attacchi automatizzati

Implicazioni per la gestione del rischio cyber

Quantificazione del rischio

Con il costo medio delle richieste di risarcimento per assicurazioni cyber aumentato da 145.000 USD nel 2019 a 359.000 USD nel 2020, c’è una crescente necessità di migliori fonti di informazioni cyber, database standardizzati, reporting obbligatorio e consapevolezza pubblica²⁴.

Impatto sui modelli di business

L’adozione di strategie di sicurezza basate principalmente sull’oscuramento può avere impatti significativi sui modelli di business:

1. Responsabilità Legale: Maggiore esposizione a responsabilità in caso di violazione
2. Compliance: Difficoltà nel soddisfare requisiti normativi che richiedono trasparenza
3. Assicurabilità: Problemi nell’ottenere copertura assicurativa cyber adeguata

Tendenze emergenti e ricerca futura

Moving Target Defense

Negli anni recenti, versioni più avanzate di “security through obscurity” hanno guadagnato supporto come metodologia nella cybersecurity attraverso Moving Target Defense e cyber deception²⁵. Questi approcci rappresentano evoluzioni più sofisticate che mantengono alcuni elementi di oscuramento ma li integrano in framework di sicurezza più robusti.

Artificial Intelligence e Machine Learning

Con l’evoluzione sempre più complessa dei cybercrime, è imperativo che le misure di cybersecurity diventino più robuste e sofisticate, utilizzando tecniche di Artificial Intelligence (AI) come il Machine Learning per monitorare ambienti di rete e combattere attivamente le minacce cyber²⁶.

Conclusioni e raccomandazioni finali

L’analisi condotta dimostra inequivocabilmente che la security by obscurity non deve mai costituire la strategia principale di protezione contro il cybercrime. Le evidenze scientifiche, le raccomandazioni istituzionali e i casi storici convergono nel sottolineare i rischi intrinseci di questo approccio.

Raccomandazioni chiave

1. Adozione di Security by Design: Implementare principi di sicurezza fin dalla fase di progettazione
2. Implementazione di Defense in Depth: Creare sistemi di sicurezza stratificati e ridondanti
3. Conformità ai Framework Standard: Adottare framework riconosciuti come NIST CSF 2.0
4. Uso Limitato dell’Oscuramento: Utilizzare l’oscuramento solo come livello aggiuntivo, mai primario
5. Formazione Continua: Investire nella formazione del personale sui principi di sicurezza moderni

Riflessioni finali

Nel panorama in evoluzione del cybercrime, dove il cybercrime in tutte le sue forme rappresenta ora tra il 40 e il 50% di tutti i crimini nelle società industrializzate²⁷, è cruciale che i professionisti della cybersecurity adottino approcci basati su evidenze scientifiche e best practice riconosciute.

La sicurezza efficace non può essere costruita su fondamenta di segretezza, ma deve basarsi su principi robusti, implementazioni trasparenti e difese stratificate. Solo attraverso questo approccio metodico e scientificamente fondato sarà possibile affrontare efficacemente le sfide crescenti del cybercrime contemporaneo.

L’abbandono della security by obscurity come strategia primaria non rappresenta una perdita, ma un’evoluzione verso approcci più maturi e efficaci che caratterizzano la cybersecurity moderna. I professionisti del settore sono chiamati a guidare questa transizione, implementando strategie di sicurezza che resistano non solo agli attacchi di oggi, ma anche a quelli di domani.

Fonti

PMC – Cyber risk and cybersecurity: a systematic review of data availability

Wikipedia – Security through obscurity

Kerckhoffs’s Principle – Crypto-IT

NIST Security recommendations

Common Weakness Enumeration CWE-656

OWASP Security Design Principles

PacketLabs – The Security Through Obscurity Debate

Cryptography Stack Exchange – Kerckhoffs’ principles

PacketLabs – Security team challenges

Wikipedia – Historical failures of obscurity-based systems

Crypto-IT – Kerckhoffs principle origins

Shannon’s reformulation of Kerckhoffs principle

Modern cryptographic applications

Red Hat – Security by Design

Red Hat – Principle of Least Privilege

Red Hat – Defense in Depth

Security by Design implementation

IBM – NIST Cybersecurity Framework

NIST CSF strategic implementation

NIST 800-160 Volume 2

Defense in depth with limited obscurity

Solid Help Center – Security prioritization

Red Hat – Threat modeling integration

Geneva Papers – Cyber insurance trends

Moving Target Defense evolution

AI in Cybersecurity – comprehensive review

Journal of Crime and Justice – Cybercrime statistics

https://www.ictsecuritymagazine.com/articoli/security-by-obscurity/