Nel panorama evolutivo delle minacce informatiche contemporanee, DragonForce emerge come un attore particolarmente sofisticato che ha rivoluzionato il tradizionale paradigma del ransomware-as-a-service. Questo threat actor, manifestatosi per la prima volta nell’agosto 2023, ha sviluppato un modello operativo che trascende le metodologie convenzionali del cybercrime, introducendo concetti innovativi di franchising criminale e white-labeling che stanno ridefinendo l’intero ecosistema del ransomware.

La peculiarità di DragonForce risiede nella sua capacità di combinare sofisticazione tecnica con un approccio imprenditoriale al crimine informatico, creando un framework operativo che democratizza l’accesso agli strumenti ransomware mantenendo al contempo standard professionali elevati. Questa evoluzione rappresenta un salto qualitativo significativo nel panorama delle minacce, con implicazioni che si estendono ben oltre il tradizionale modello di attacco ransomware.

Genesi ed evoluzione operativa

L’analisi cronologica delle attività di DragonForce rivela un percorso di sviluppo strategicamente pianificato. Inizialmente, il gruppo ha operato secondo modalità relativamente tradizionali, basandosi sul codice sorgente trapelato di LockBit 3.0 per costruire la propria infrastruttura malware. Tuttavia, già nel dicembre 2023, con l’establishment del “DragonLeaks” dark web portal, il gruppo aveva dimostrato ambizioni che andavano oltre la semplice distribuzione di ransomware.

Il punto di svolta si è verificato nel luglio 2024, quando DragonForce ha integrato nel proprio arsenale una variante customizzata basata sul codebase di Conti V3. Questa decisione tecnica non rappresenta semplicemente un upgrade tecnologico, ma riflette una strategia a lungo termine volta a creare un ecosistema ransomware più resiliente e adattabile.

Nel marzo 2025, DragonForce ha annunciato la propria trasformazione in quello che definisce un “cartello ransomware”, introducendo un modello operativo federato che consente agli affiliati di operare sotto brand personalizzati pur mantenendo l’accesso all’infrastruttura centralizzata. Questa evoluzione rappresenta un’innovazione paradigmatica nel settore del cybercrime, introducendo dinamiche di franchising che ricordano quelle dei modelli di business legittimi.

Architettura tecnica e infrastruttura

Dal punto di vista tecnico, DragonForce presenta un’architettura sofisticata che combina elementi derivati da multiple famiglie di ransomware consolidate. L’analisi del reverse engineering condotta dai ricercatori di sicurezza ha evidenziato come il gruppo abbia saputo integrare le migliori caratteristiche di LockBit 3.0 e Conti V3, creando un payload ibrido che mantiene la robustezza e l’efficacia dei progenitori.

Il sistema di crittografia implementato da DragonForce utilizza algoritmi di encryption avanzati, principalmente AES-256 e RSA, per garantire l’irrecuperabilità dei dati senza la chiave di decrittazione. Particolarmente interessante è l’uso della codifica Base32 per i nomi dei file crittografati, accompagnata dall’estensione .dragonforce_encrypted, che rappresenta una firma distintiva del gruppo.

L’infrastruttura operativa di DragonForce si distingue per la sua scalabilità e flessibilità. Il gruppo ha sviluppato una piattaforma centralizzata che fornisce agli affiliati accesso a strumenti di negoziazione, sistemi di storage per i dati esfiltrati, e console di amministrazione malware. Questa architettura consente di supportare quello che il gruppo definisce “brand illimitati”, targetizzando multiple piattaforme inclusi sistemi ESXi, NAS, BSD e Windows.

Modello economico e struttura organizzativa

L’aspetto più innovativo di DragonForce risiede nel suo modello economico. Il gruppo applica una commissione del 20% sui riscatti pagati, significativamente inferiore rispetto al 30-40% standard nel settore RaaS. Questa strategia di pricing aggressiva è chiaramente volta ad attrarre un maggior numero di affiliati, creando un effetto di scala che compensa i margini ridotti attraverso volumi maggiori.

Il modello di white-labeling implementato da DragonForce consente agli affiliati di operare sotto brand personalizzati, mantenendo l’accesso all’infrastruttura centralizzata. Questa flessibilità operativa attrae non solo threat actor meno esperti che beneficiano dell’infrastruttura professionale, ma anche gruppi più sofisticati che desiderano mantenere la propria identità di brand pur sfruttando capabilities tecniche avanzate.

Interessante è anche la dichiarata adesione del gruppo a specifici “codici etici”, che prevedono restrizioni nel targeting di determinate tipologie di infrastrutture sanitarie. Sebbene possa sembrare paradossale per un’organizzazione criminale, questa policy riflette probabilmente una strategia di risk management volta a minimizzare l’attenzione delle forze dell’ordine evitando attacchi che potrebbero causare vittime dirette.

Analisi delle vulnerabilità exploited

La campagna SimpleHelp: un caso di studio

Uno degli esempi più significativi della sophistication tecnica di DragonForce è rappresentato dalla campagna di gennaio-maggio 2025 che ha sfruttato una serie di vulnerabilità critiche nel software SimpleHelp Remote Monitoring and Management. Questa campagna rappresenta un perfetto esempio di come i threat actor moderni siano in grado di weaponizzare rapidamente le vulnerabilità zero-day per condurre attacchi su larga scala.

Le tre vulnerabilità sfruttate – CVE-2024-57726, CVE-2024-57727, e CVE-2024-57728 – sono state concatenate in una chain of exploitation particolarmente efficace. La CVE-2024-57726, con un punteggio CVSS di 9.9, rappresenta una vulnerabilità di privilege escalation che consente agli attaccanti di elevare i propri privilegi da utente standard ad amministratore di sistema. Questa vulnerabilità deriva da controlli di autorizzazione insufficienti nelle funzioni amministrative di SimpleHelp, permettendo a utenti con privilegi limitati di creare API key con permessi elevated.

La CVE-2024-57727, con punteggio CVSS di 7.5, comprende multiple vulnerabilità di path traversal che consentono ad attaccanti non autenticati di accedere a file arbitrari sul server SimpleHelp. Questa vulnerabilità è particolarmente pericolosa perché consente l’accesso a file di configurazione contenenti credenziali crittografate con chiavi hardcoded, inclusi credenziali LDAP, client secret OIDC, API key, e seed TOTP utilizzati per l’autenticazione multi-fattore.

La CVE-2024-57728, con punteggio CVSS di 7.2, rappresenta una vulnerabilità di arbitrary file upload sfruttabile attraverso attacchi di tipo zip slip. Questa vulnerabilità consente agli amministratori di caricare file arbitrari in qualsiasi posizione del filesystem, abilitando l’esecuzione di codice remoto attraverso l’upload di file executable o la modifica di librerie di sistema.

Metodologia di Attack Chaining

La campagna SimpleHelp dimostra la capacità di DragonForce di implementare sophisticated attack chain che massimizzano l’impatto delle vulnerabilità disponibili. Il gruppo ha utilizzato queste vulnerabilità in sequenza per ottenere accesso iniziale, escalare i privilegi, e infine deployare il proprio payload ransomware attraverso l’infrastruttura compromessa.

Particolarmente significativo è l’approccio di supply chain compromise adottato dal gruppo. Invece di targetizzare direttamente le organizzazioni finali, DragonForce ha focalizzato i propri sforzi sui Managed Service Provider che utilizzano SimpleHelp per gestire i propri clienti. Questa strategia consente di massimizzare l’impatto dell’attacco, consentendo la compromissione simultanea di multiple organizzazioni attraverso un singolo punto di ingresso.

Tattiche, Tecniche e Procedure (TTPs)

L’analisi delle TTPs di DragonForce rivela un approccio multiforme che combina tecniche tradizionali con metodologie innovative. Il gruppo dimostra una particolare predilezione per gli attacchi basati su social engineering, utilizzando campagne di phishing sofisticate per ottenere l’accesso iniziale alle reti target.

Una delle tecniche più interessanti implementate da DragonForce è l’approccio Bring Your Own Vulnerable Driver (BYOVD). Questa metodologia prevede il deployment di driver kernel legittimi ma vulnerabili sui sistemi target, che vengono poi exploited per ottenere privilegi di kernel e disabilitare i software di sicurezza. Il gruppo ha dimostrato di utilizzare driver come RogueKiller Anti-Rootkit Driver, sfruttando le vulnerabilità note per neutralizzare i sistemi di protezione endpoint.

Dal punto di vista dell’evasion, DragonForce implementa diverse tecniche anti-forensics per impedire la detection e l’analisi dei propri attacchi. Il gruppo utilizza script automatizzati per cancellare i log di sistema, tecniche di obfuscation del codice, e metodologie di process injection per nascondere la propria presenza sui sistemi compromessi.

Particolarmente sofisticata è la metodologia di lateral movement implementata dal gruppo. DragonForce utilizza commercial red-team framework come Cobalt Strike per stabilire canali di command-and-control persistenti e caricare payload aggiuntivi sui sistemi compromessi. Questo approccio consente al gruppo di mantenere l’accesso alle reti target anche dopo la detection iniziale, facilitando operazioni di reconnaissance prolungate e data exfiltration.

Convergenza con Scattered Spider

Un aspetto particolarmente interessante dell’ecosistema DragonForce è la sua convergenza operativa con Scattered Spider (UNC3944), un threat actor noto per le sue sofisticate tecniche di social engineering e per i high-profile attack contro organizzazioni del settore gaming e hospitality.

L’analisi intelligence condotta da Mandiant ha identificato significative sovrapposizioni operative tra i due gruppi, suggerendo forme di collaborazione o condivisione di risorse.

Questa convergenza è particolarmente evidente nelle recenti campagne contro il settore retail britannico, dove tecniche tipiche di Scattered Spider sono state utilizzate in combinazione con payload DragonForce.

Gli attacchi contro Marks & Spencer, Co-op, e Harrods rappresentano un esempio paradigmatico di questa collaborazione. Le tecniche di initial access utilizzate – inclusi phishing targeting platform SSO, SIM swapping, e social engineering per impersonare il personale IT – sono signature tipiche di Scattered Spider. Tuttavia, il payload finale deployato sui sistemi ESXi delle vittime è chiaramente identificabile come DragonForce ransomware.

Questa convergenza operativa rappresenta una tendenza preoccupante nel panorama delle minacce, suggerendo una crescente specializzazione e collaborazione tra diversi threat actor. Mentre Scattered Spider eccelle nelle tecniche di initial access e social engineering, DragonForce fornisce l’infrastruttura ransomware e le capabilities di data exfiltration necessarie per monetizzare gli attacchi.

Innovazioni tecnologiche e automazione

DragonForce si distingue per la sua capacità di integrare tecnologie emergenti nelle proprie operazioni. Il gruppo ha iniziato a sperimentare con l’intelligenza artificiale per automatizzare diversi aspetti delle proprie campagne, dalle fasi di reconnaissance alla generazione di payload personalizzati.

L’utilizzo di large language model per la generazione automatica di codice malware rappresenta un’innovazione significativa che riduce le barriere tecniche per gli affiliati meno esperti. Questi strumenti consentono la creazione di variant personalizzate del ransomware senza richiedere competenze di programmazione avanzate, democratizzando ulteriormente l’accesso agli strumenti di cybercrime.

Particolarmente interessante è l’implementazione di algoritmi di machine learning per l‘adaptive evasion. DragonForce utilizza queste tecnologie per analizzare le misure difensive implementate dalle organizzazioni target e adattare automaticamente le proprie tecniche di attacco per massimizzare le probabilità di successo.

Alleanze e dinamiche di mercato

DragonForce opera all’interno di un ecosistema complesso di alleanze e rivalità che caratterizza il mercato del ransomware contemporaneo. Il gruppo fa parte di quella che viene definita “The Five Families” alliance, un framework collaborativo che facilita la condivisione di risorse, intelligenza, e capabilities tecniche tra diversi threat actor.

Questa alleanza consente a DragonForce di accedere a un pool di risorse e competenze più ampio di quello che potrebbe sviluppare autonomamente. La collaborazione include sharing di exploit zero-day, metodologie di attacco innovative, e intelligence sulle misure difensive implementate dalle organizzazioni target.

Contemporaneamente, DragonForce ha condotto quella che può essere definita una “guerra di territorio” contro gruppi rivali. Il gruppo ha deliberatamente compromesso e deface i leak site di competitor come BlackLock e Mamona, in quello che rappresenta un chiaro tentativo di consolidamento del mercato.

Particolarmente significativo è il presunto takeover dell’infrastruttura di RansomHub, un prolific gruppo ransomware che ha cessato le operazioni nel marzo 2025. DragonForce sembra aver assorbito non solo l’infrastruttura tecnica di RansomHub, ma anche parte dei suoi affiliati, consolidando ulteriormente la propria posizione nel mercato RaaS.

Implicazioni geopolitiche

L’attribuzione geopolitica di DragonForce presenta diverse ambiguità che riflettono la complessità del panorama del cybercrime contemporaneo. Sebbene il gruppo implementi policy che escludono il targeting di organizzazioni nei paesi del Commonwealth of Independent States, questa restrizione non rappresenta necessariamente un indicatore definitivo di origine geografica.

L’analisi linguistica delle comunicazioni del gruppo rivela un mix di competenze native in inglese e russo, suggerendo una composizione multinazionale. Questa diversità linguistica potrebbe riflettere la natura sempre più globalizzata del cybercrime organizzato, dove threat actor di diverse nazionalità collaborano per massimizzare l’efficacia delle proprie operazioni.

Le accuse di collaborazione con servizi intelligence russi, mosse da gruppi rivali, devono essere considerate nel contesto delle dinamiche competitive del mercato ransomware. Tuttavia, non possono essere completamente ignorate, considerando i precedenti storici di collaborazione tra gruppi cybercriminali e apparati statali.

Contromisure e strategie difensive

La sofisticazione tecnica e operativa di DragonForce richiede un approccio difensivo multi-layered che combini controlli tecnici avanzati con procedure organizzative robuste. Le organizzazioni devono implementare strategie che vanno oltre i tradizionali perimetri di sicurezza per affrontare efficacemente le minacce rappresentate da questo threat actor.

Dal punto di vista tecnico, è essenziale implementare soluzioni di endpoint detection and response (EDR) capaci di rilevare comportamenti anomali e tecniche di evasion sofisticate. I sistemi di detection devono essere configurati per identificare indicatori specifici associati alle TTPs di DragonForce, inclusi i pattern behavior caratteristici degli attack BYOVD e delle tecniche di process injection.

La gestione delle vulnerabilità assume un’importanza critica, considerando la rapidità con cui DragonForce è in grado di weaponizzare exploit zero-day. Le organizzazioni devono implementare processi di patching accelerati, particolarmente per software di gestione remota e applicazioni internet-facing che rappresentano target privilegiati per i threat actor.

L’implementazione di architetture zero-trust rappresenta una strategia difensiva fondamentale per limitare l’impatto degli attacchi di lateral movement. Queste architetture devono includere controlli granulari di accesso, segmentazione di rete avanzata, e monitoraggio continuo delle attività di rete per identificare rapidamente movimenti laterali anomali.

Dal punto di vista procedurale, è essenziale implementare programmi di security awareness training specificamente focalizzati sulle tecniche di social engineering utilizzate da threat actor come Scattered Spider. Questi programmi devono includere simulazioni realistiche di attacchi di phishing e vishing, con particolare attenzione alla formazione del personale di help desk e IT che rappresenta target privilegiato per queste tecniche.

Prospettive future

L’evoluzione di DragonForce rappresenta un indicatore delle direzioni future del panorama delle minacce informatiche. Il successo del modello di business del gruppo suggerisce che vedremo probabilmente un’ulteriore proliferazione di approcci simili, con altri threat actor che adotteranno metodologie di franchising e white-labeling per espandere le proprie operazioni.

L’integrazione crescente di tecnologie di intelligenza artificiale nelle operazioni di cybercrime rappresenta una tendenza che avrà implicazioni significative per la sicurezza informatica.

Man mano che questi strumenti diventano più accessibili e sofisticati, è probabile che vedremo un’ulteriore democratizzazione degli strumenti di attacco, con conseguente aumento del numero di threat actor capaci di condurre operazioni sofisticate.

La convergenza operativa tra diversi gruppi di cybercriminali, come dimostrato dalla collaborazione tra DragonForce e Scattered Spider, suggerisce un’evoluzione verso modelli di specializzazione e collaborazione più sofisticati. Questa tendenza potrebbe portare alla formazione di ecosistemi criminali più complessi e resilienti, capaci di resistere meglio agli sforzi di disruption delle forze dell’ordine.

Conclusioni

DragonForce rappresenta un esempio paradigmatico dell’evoluzione contemporanea del cybercrime organizzato. Il gruppo ha dimostrato una capacità straordinaria di innovare non solo dal punto di vista tecnico, ma anche sotto il profilo del modello di business, creando un framework operativo che sta influenzando l’intero ecosistema del ransomware.

La sophistication tecnica dimostrata nelle recenti campagne, combinata con l’approccio imprenditoriale all’organizzazione delle operazioni criminali, pone sfide significative per la comunità della sicurezza informatica. Le organizzazioni devono prepararsi ad affrontare threat actor sempre più sofisticati, capaci di combinare tecniche di attacco avanzate con strategie operative resilienti.

L’analisi di DragonForce offre insight preziosi non solo sulle capabilities attuali di questo specifico threat actor, ma anche sulle tendenze evolutive del panorama delle minacce informatiche. Comprendere questi sviluppi è essenziale per sviluppare strategie difensive efficaci e anticipare le future evoluzioni del cybercrime organizzato.

Il caso DragonForce dimostra che il futuro della sicurezza informatica richiederà approcci sempre più sofisticati e adattivi, capaci di confrontarsi con avversari che combinano sophistication tecnica, risorse economiche significative, e modelli organizzativi innovativi. Solo attraverso una comprensione approfondita di queste dinamiche sarà possibile sviluppare le contromisure necessarie per proteggere efficacemente le infrastrutture digitali contemporanee.

Fonti:

• Sophos News – “DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers” (27 maggio 2025) – https://news.sophos.com/en-us/2025/05/27/dragonforce-actors-target-simplehelp-vulnerabilities-to-attack-msp-customers/
• SecurityWeek – “DragonForce Ransomware Hackers Exploiting SimpleHelp Vulnerabilities” (27 maggio 2025) – https://www.securityweek.com/dragonforce-ransomware-hackers-exploiting-simplehelp-vulnerabilities/
• BleepingComputer – “DragonForce expands ransomware model with white-label branding scheme” (26 aprile 2025) – https://www.bleepingcomputer.com/news/security/dragonforce-expands-ransomware-model-with-white-label-branding-scheme/
• The Register – “What we know about DragonForce ransomware” (15 maggio 2025) – https://www.theregister.com/2025/05/15/dragonforce_ransomware_uk_retail_attacks/
• Check Point Blog – “DragonForce Ransomware: Redefining Hybrid Extortion in 2025” (maggio 2025) – https://blog.checkpoint.com/security/dragonforce-ransomware-redefining-hybrid-extortion-in-2025/
• Dragos Industrial Ransomware Analysis Q1 2025 (maggio 2025) – https://www.dragos.com/blog/dragos-industrial-ransomware-analysis-q1-2025/
• Google Cloud Blog – “Defending Against UNC3944” (maggio 2025) – https://cloud.google.com/blog/topics/threat-intelligence/unc3944-proactive-hardening-recommendations
• Qualys ThreatPROTECT – “SimpleHelp Multiple Vulnerabilities” (febbraio 2025) – https://threatprotect.qualys.com/2025/02/07/simplehelp-remote-monitoring-and-management-multiple-vulnerabilities-cve-2024-57726-cve-2024-57727-cve-2024-57728/
• Resecurity – “DragonForce Ransomware Reverse Engineering Report” – https://www.resecurity.com/blog/article/dragonforce-ransomware-reverse-engineering-report
• Wiz Threat Research – “DragonForce Exploits SimpleHelp Vulnerabilities” (28 maggio 2025) – https://threats.wiz.io/all-incidents/dragonforce-exploits-simplehelp-vulnerabilities-in-ransomware-campaign
• SOCRadar – “DragonForce Exploits SimpleHelp Flaws in Targeted MSP Ransomware Attack” (maggio 2025) – https://socradar.io/dragonforce-exploits-simplehelp-msp-ransomware/
• The Hacker News – “DragonForce Exploits SimpleHelp Flaws” (29 maggio 2025) – https://thehackernews.com/2025/05/dragonforce-exploits-simplehelp-flaws.html
• Dark Reading – “DragonForce Ransomware Strikes MSP in Supply Chain Attack” (27 maggio 2025) – https://www.darkreading.com/application-security/dragonforce-ransomware-msp-supply-chain-attack

https://www.ictsecuritymagazine.com/articoli/dragonforce-exploits/

Nell’ambito della 13ª Cyber Crime Conference, Emanuele Iovini (Specialist in Prevention & Outreach at EC3 Cybercrime Centre) ha presentato un’analisi dettagliata delle più recenti operazioni di Europol contro la criminalità informatica.

Il suo intervento ha offerto uno sguardo privilegiato sulle strategie adottate dallo European Cybercrime Centre (EC3) e sugli importanti risultati ottenuti negli ultimi mesi.

Il Centro europeo per il cybercrime: l’hub della sicurezza informatica in Europa

«In veste di specialista nel team di prevenzione e sensibilizzazione del Centro europeo per il cybercrime di Europol, voglio descrivervi le operazioni dell’ultimo anno e perché sono così importanti nel contesto della cooperazione internazionale», ha dichiarato Iovini in apertura dell’intervento.

L’EC3 rappresenta il fulcro della lotta contro la criminalità informatica nel continente: il centro strategico dispone di strumenti all’avanguardia per la cooperazione internazionale e di sofisticati mezzi analitici, a livello forense e di Cyber Threat Intelligence, per contrastare efficacemente le minacce informatiche.

Al cuore delle operazioni troviamo la Joint Cybercrime Action Task Force (J-CAT), una task force permanente che riunisce esperti provenienti da tutti i paesi membri; questa struttura garantisce un’azione coordinata e tempestiva contro le minacce emergenti, superando le barriere nazionali che spesso ostacolano le indagini sui crimini cyber.

Guarda il vedo completo dell’intervento:

International Ransomware Response Model: la risposta europea ai ransomware

Particolarmente efficace è l’International Ransomware Response Model (IRM), con un’innovativa interfaccia che offre assistenza tecnica di alto livello alle aziende colpite da attacchi ransomware.

«Oltre a servizi di cifratura e chiusura dei server, il portale NoMoreRansom.org fornisce supporto a tutte le organizzazioni che hanno bisogno di combattere contro gli attacchi ransomware», ha spiegato Iovini.

Il portale rappresenta solo la punta dell’iceberg di una più ampia strategia di contrasto alle infrastrutture utilizzate dai criminali informatici: un approccio che permette non solo di rispondere agli attacchi già avvenuti, ma anche di prevenirne di ulteriori in futuro.

La cooperazione pubblico-privato: un’alleanza strategica

Un elemento fondamentale della strategia di Europol è la stretta collaborazione con il settore privato. Gli accordi di cooperazione con aziende tecnologiche e di sicurezza informatica forniscono un prezioso flusso di intelligence nella lotta contro il cybercrimine.

«In questo ambito, il settore privato riveste un ruolo essenziale» ha sottolineato Iovini.

Gli investigatori, infatti, non possono fronteggiare efficacemente la minaccia del cybercrime senza il supporto di competenze e informazioni provenienti dal settore privato.

Questa sinergia consente di identificare rapidamente nuove minacce e di sviluppare contromisure efficaci, in un contesto in cui la velocità di risposta è spesso determinante per il successo delle operazioni.

Operazione Stargrew: il colpo al Phishing-as-a-Service

Nel corso dell’ultimo anno, Europol ha condotto diverse operazioni di successo contro piattaforme criminali.

Grazie alla cooperazione di ben 19 paesi, l’operazione Stargrew ha inferto un duro colpo al fenomeno del “Phishing-as-a-Service”, neutralizzando una rete che utilizzava oltre 40.000 domini per orchestrare sofisticati attacchi di phishing.

Con un’impressionante cifra di utenti registrati, la piattaforma consentiva anche a criminali con competenze tecniche limitate di condurre efficaci attacchi di ingegneria sociale: questo esempio evidenzia la preoccupante democratizzazione degli strumenti di attacco informatico, che rende il crimine cyber accessibile a un numero sempre maggiore di malintenzionati.

Operazione Morpheus: la lotta contro l’uso illecito di strumenti legittimi

Non meno significativa è stata l’operazione Morpheus, mirata a contrastare l’uso illecito di Cobalt Strike. Questo strumento, originariamente sviluppato con finalità di testing per la sicurezza, è diventato incredibilmente popolare tra gli attaccanti in ragione della sua versatilità.

«Cobalt Strike è nato come strumento legittimo ma è estremamente efficace nelle mani degli hacker, perché è altamente personalizzabile» ha spiegato Iovini «e rende possibile modifiche per adattarlo alle caratteristiche della vittima, nonché modifiche ai comandi e al codice sorgente per consentire di attaccare il target nel modo più efficace possibile».

Grazie al coordinamento di Europol sono stati organizzati circa 40 incontri per combattere risorse informatiche malevole distribuite in 27 diversi paesi, dimostrando l’importanza della cooperazione internazionale nella lotta al cybercrimine.

Operazione Kaerb: oltre i confini europei

Anche l’operazione Kaerb ha segnato un’importante evoluzione nella cooperazione internazionale, estendendo le partnership oltre i confini europei, in particolare con l’Argentina.

Il suo successo mostra come la lotta al cybercrimine richieda un approccio veramente globale, in cui le barriere geografiche e giurisdizionali vengono superate in nome di un obiettivo comune.

In merito Iovini ha ribadito che «È necessaria una cooperazione serrata», sottolineando come la rapidità di risposta sia fondamentale per contrastare efficacemente le minacce informatiche in un contesto sempre più interconnesso.

Operazione Matrix: contro le comunicazioni criptate dei criminali

L’operazione Matrix ha portato alla chiusura di una piattaforma che consentiva ai criminali informatici di comunicare tra loro in forma anonima, rendendo estremamente difficile l’intercettazione da parte delle forze dell’ordine.

«La piattaforma consentiva ai criminali, sulla base di un pagamento mensile, di registrarsi e di ottenere tutta una serie di supporti; ma soprattutto permetteva loro di comunicare in modo totalmente anonimo, con crittografia end-to-end», ha spiegato Iovini.

Questo tipo di piattaforme rappresenta una sfida crescente per le autorità, poiché offrono ai criminali informatici spazi virtuali sicuri in cui pianificare e coordinare le loro attività.

Il successo dell’operazione Matrix dimostra, pertanto, la capacità di Europol di adattarsi alle nuove tecnologie utilizzate dalla criminalità organizzata.

Operazione Talent: il colpo ai marketplace del cybercrimine nel 2025

Passando ad attività più recenti, il relatore ha descritto l’operazione Talent, avviata a gennaio 2025 dalle autorità tedesche, che ha portato alla chiusura di due risorse fondamentali nell’ecosistema del cybercrime internazionale.

«L’operazione si è concentrata sulle piattaforme “cracked.to” and “nulled.io”, che contavano su una platea di 10 milioni di utenti e che molti esperti conosceranno come “marketplace del cybercrime”», ha sintetizzato Iovini; «in questo caso Europol ha agito come vero e proprio broker della conoscenza, consentendo la condivisione rapida e sicura di risorse di intelligence tra i vari paesi coinvolti, nonché fornendo supporto analitico e forense alle autorità investigative nazionali».

Ciò che rende particolarmente preoccupanti questi mercati virtuali è la loro crescente capacità di offrire strumenti basati su AI, che rendono possibili «azioni automatiche personalizzate, permettendo di customizzare le attività di attacco anche senza essere esperti» e abbassando drasticamente la barriera tecnica per condurre attacchi informatici sofisticati.

L’operazione Phobos e 8Base: la lotta al ransomware-as-a-service

Di grande rilevanza è stata anche l’operazione che ha portato alla chiusura dei gruppi ransomware Phobos e 8Base, con l’arresto di due importanti criminali informatici: uno in Italia, nel 2023 (su mandato di arresto francese) e l’altro in Corea del Sud, nel 2024.

«A rendere importante questa operazione è il fatto che Phobos sia uno dei primi esempi di ransomware-as-a-service, a cui è seguito 8Base, una variante del primo che gli attaccanti avevano personalizzato in base alle loro esigenze», ha spiegato Iovini.

Questi gruppi adottavano tecniche particolarmente aggressive, come la “double extortion”. Con l’emergere di nuovi attori, però, si osserva un’evoluzione verso la “quadruple extortion”, in cui gli attaccanti, oltre a cifrare i dati e minacciarne la diffusione, contattano anche agenzie partner della vittima e spesso lanciano attacchi DDoS per impedire il ripristino dei servizi, aumentando così la pressione affinché venga pagato il riscatto.

L’operazione – che ha coinvolto 14 paesi, permettendo di identificare e neutralizzare ben 27 server utilizzati per attacchi ransomware – ha beneficiato del supporto essenziale di Eurojust, evidenziando come la lotta al cybercrimine richieda una cooperazione non solo esecutiva ma anche giudiziaria.

«Purtroppo sappiamo che diverse giurisdizioni hanno leggi e regolamenti diversi, quindi a volte è molto difficile coordinare le attività sul piano esecutivo» ha osservato Iovini, sottolineando una delle principali sfide nella lotta transnazionale al crimine cyber.

Sfide future: dall’anonimizzazione all’intelligenza artificiale

In conclusione del suo intervento, Iovini ha delineato le sfide attuali e future nel contrasto alla criminalità informatica transnazionale.

Nella sintesi offerta, la cifratura e l’anonimizzazione – spesso strettamente collegate, come dimostrato dalla piattaforma Matrix – rappresentano ancora ostacoli significativi; inoltre nuovi tipi di attacchi, con obiettivi su larga scala ma dal minor impatto individuale, stanno diventando sempre più comuni grazie alla diffusione del “cybercrime-as-a-service”, che facilita l’accesso a tecniche precedentemente riservate ad attaccanti esperti.

Anche la difficoltà nel tracciamento di pagamenti e comunicazioni continua ad essere una sfida tecnica significativa per le forze dell’ordine. Al riguardo un’efficace cooperazione transfrontaliera richiede in primo luogo operazioni investigative e giudiziarie realmente coordinate, nonché un rafforzamento della collaborazione pubblico/privato.

Iovini ha infine evidenziato come le nuove frontiere tecnologiche stiano aprendo nuovi scenari per il cybercrimine: «Tra le nuove frontiere a cui dovremo prestare attenzione figurano la blockchain, il Quantum Computing e, naturalmente, l’intelligenza artificiale, che sta davvero trasformando il nostro mondo grazie alla sua accessibilità e versatilità, capaci di renderla uno strumento molto attraente per i criminali».

Conclusioni: il futuro della sicurezza informatica in Europa

Iovini ha ricordato come i rapporti “Internet Organised Crime Threat Assessment“ e ”Serious and Organised Crime Threat Assessment” (entrambi pubblicati da Europol) offrano un’analisi approfondita delle tendenze citate nell’intervento, a conferma del ruolo sempre più centrale del cybercrime nello scenario globale.

La presentazione ha fornito uno sguardo privilegiato sugli sforzi comunitari per contrastare questa minaccia in rapida evoluzione, evidenziando come solo mediante una cooperazione internazionale rafforzata sia possibile affrontare efficacemente le sfide poste dalla criminalità informatica contemporanea.

Come illustrato nell’intervento, le operazioni condotte da Europol negli ultimi mesi dimostrano la capacità dell’agenzia di adattarsi rapidamente alle nuove minacce, sviluppando strategie innovative ma soprattutto costruendo alleanze strategiche per proteggere cittadini e imprese europee da minacce informatiche sempre più diffuse e sofisticate.

https://www.ictsecuritymagazine.com/articoli/criminalita-informatica-europol/

Nella prima Tavola Rotonda tenutasi durante la 13a Edizione della Cyber Crime Conference, il 16 aprile 2025, sono intervenuti:

• Luigi Birritteri, Capo del Dipartimento per gli affari di Giustizia;
• Ivano Gabrielli, Direttore del Servizio Polizia Postale per la Sicurezza Cibernetica;
• Gianluca Galasso, Direttore del Servizio Operazioni dell’Agenzia per la Cybersicurezza Nazionale;
• Pasquale Stanzione, Presidente dell’Autorità Garante per la Protezione dei Dati Personali;

Moderatrice:

● Donatella Curtotti, Professoressa ordinaria in Diritto processuale penale presso il Dipartimento di Giurisprudenza dell’Università di Foggia.

L’incontro ha analizzato – attraverso le prospettive dei principali attori istituzionali coinvolti – l’ecosistema italiano di contrasto al cybercrime, evidenziando l’interazione tra aspetti investigativi e giudiziari, nonché le metodologie operative attuali e le sfide future nella lotta al crimine informatico.

Ne è emersa con chiarezza la necessità di un approccio investigativo multidisciplinare, che sappia contemperare le esigenze di sicurezza con il rispetto dei diritti fondamentali.

Nel panorama della sicurezza nazionale sta prendendo forma, con la discrezione che spesso accompagna le rivoluzioni più profonde, una trasformazione tale da sovvertire categorie consolidate da decenni.

La Tavola Rotonda “Il Modello Italiano di Contrasto al Cybercrime: dalla Prevenzione all’Azione Giudiziaria” ha portato alla luce questo fermento sotterraneo, rivelando come le architetture istituzionali tradizionali stiano subendo una metamorfosi tanto ineludibile quanto necessaria: le rigide distinzioni tra gli ambiti della prevenzione e della repressione, come anche tra le dimensioni della sicurezza e della giustizia, stanno cedendo il passo a un approccio sempre più osmotico e integrato.

Guarda la registrazione video del panel:

La prof.ssa Donatella Curtotti, inaugurando la discussione, ha sintetizzato l’essenza di questa transizione epocale: «Nell’università italiana siamo abituati a insegnare che i vari comparti della sicurezza appartengono a funzioni diverse dello Stato: prevenzione e repressione da un lato, giustizia penale dall’altro. In questo quadro è stata poi calata, all’improvviso, la privacy».

Un’impostazione profondamente radicata nell’architettura costituzionale e nel principio di legalità che ne costituisce il fondamento, a lungo tradotta nella netta separazione funzionale tra vari organi che raccoglievano e gestivano informazioni «in proprio»; con un’osmosi tra le diverse Agenzie che, quando avveniva, restava sempre «un po’ sotto il radar».

È proprio questa impalcatura concettuale e istituzionale che l’avvento del cyberspazio ha irreversibilmente destabilizzato.

Il cybercrime – fenomeno proteiforme per sua natura, caratterizzato da un’intrinseca transnazionalità, da una complessità tecnica in costante evoluzione e da una fulminea velocità di mutazione – ha fatto implodere le distinzioni spazio-temporali su cui si fondava l’intero edificio delle competenze separate.

«Con l’avvento del cyber», ha osservato la prof.ssa Curtotti, «tutto è cambiato. Il cyber altera completamente le dimensioni della vita, anche sul piano temporale; ed è ormai fondamentale anche in materia di investigazione».

In questo nuovo universo digitale, la tradizionale distinzione tra operazioni di intelligence e indagini di polizia giudiziaria è da ritenersi, nelle parole della moderatrice, «ormai obsoleta». L’urgenza della minaccia, la sua capacità di metamorfosi in tempo reale e la sua intrinseca extraterritorialità richiedono non solo una risposta coordinata ma un ripensamento fondamentale delle stesse categorie attraverso cui concepiamo la sicurezza e la giustizia nell’era digitale.

L’Agenzia per la Cybersicurezza Nazionale: architettura di una resilienza sistemica

Al cuore di questa trasformazione si colloca, con crescente autorevolezza, l’Agenzia per la Cybersicurezza Nazionale (ACN), istituita nel 2021.

Il dott. Gianluca Galasso, Direttore del Servizio Operazioni dell’Agenzia, ha tracciato con precisione la traiettoria evolutiva del nostro Paese: «Storicamente, l’Italia si è mossa in ritardo rispetto ad altre nazioni con cui ci confrontiamo. Se da qualche anno abbiamo colmato questo ritardo, rilevo che ancora c’è bisogno di raccontare il ruolo dell’Agenzia in questo ecosistema cibernetico».

Tale riflessione svela due elementi significativi: la consapevolezza del ritardo italiano in ambito di cybersicurezza, nonché la natura ancora in divenire dell’architettura istituzionale di settore. La stessa denominazione del campo d’azione dell’ACN – la “cyber resilienza” – trascende la mera protezione dai rischi informatici, per abbracciare un concetto più ampio e dalla portata sistemica: «Occupandoci di cyber resilienza», ha precisato Galasso, «le nostre iniziative sono finalizzate a creare le condizioni affinché l’ecosistema digitale del paese sia protetto a livello adeguato».

In questa formulazione si coglie un elemento distintivo della strategia italiana, dove l’attenzione non è rivolta al singolo cittadino ma all’ecosistema digitale nel suo complesso, quindi alle infrastrutture che i cittadini utilizzano quotidianamente: «Il nostro compito non è proteggere la singola persona, bensì le infrastrutture digitali che poi le persone utilizzano, in ambito sia personale che professionale».

L’orizzonte operativo dell’ACN delinea, quindi, una cartografia delle priorità nazionali che può tradursi in una mappatura delle vulnerabilità sistemiche, includendo le infrastrutture critiche nazionali nonché gli apparati della Pubblica Amministrazione centrale e periferica, fino al vasto arcipelago delle PMI.

«Il tessuto produttivo delle piccole e medie imprese è ciò su cui sostanzialmente si regge il PIL nazionale», ha sottolineato Galasso; mettendo in luce una peculiarità dell’ecosistema economico italiano che, risultando particolarmente vulnerabile agli attacchi informatici, necessariamente si riflette nell’architettura della sicurezza cibernetica.

In tale contesto, accanto al rafforzamento del Perimetro di Sicurezza Nazionale cibernetica (PSNC), il recente recepimento della direttiva NIS2 ha rappresentato un punto di svolta sia quantitativo che qualitativo nell’approccio regolatorio. Il perimetro dei soggetti obbligati a conformarsi a requisiti di cybersicurezza ha subìto una dilatazione esponenziale, che riflette la crescente pervasività delle tecnologie digitali in tutti i settori dell’economia e della società; di conseguenza si è ampliato anche il ruolo dell’ACN, a cui spetta supportare tali realtà nel loro percorso di conformità ai nuovi requisiti.

Tuttavia, secondo l’analisi di Galasso, l’elemento rivoluzionario risiede nel “salto culturale” imposto dalla normativa europea: «Il vero messaggio della NIS2 è che la sicurezza è un tema di rischio aziendale, che quindi deve essere trattato al massimo livello all’interno dell’organizzazione».

In questa affermazione si coglie una transizione fondamentale: l’elevazione della cybersicurezza dal dominio puramente tecnico-operativo – tradizionalmente confinato ai reparti IT – a quello strategico-manageriale, che la colloca sullo stesso piano dei rischi finanziari, legali o reputazionali nel quadro della governance aziendale.

La Polizia Postale, dall’investigazione all’approccio multilivello

Sotto la guida del dott. Ivano Gabrielli, la Polizia Postale e delle Comunicazioni ha attraversato una profonda metamorfosi per fronteggiare le nuove sfide del cybercrime contemporaneo.

Un’evoluzione che, a ben vedere, ha riguardato le agenzie investigative di molti Paesi.
Gabrielli ha rievocato un momento topico di questa mutazione: nel 2006, in un contesto di crescente consapevolezza delle vulnerabilità digitali, una direttiva dell’allora Presidente USA Barack Obama stabilì che tutte le indagini concernenti attacchi a infrastrutture critiche nazionali dovessero essere affidate all’FBI.

Insieme al consolidamento del framework normativo internazionale (a cominciare dalla Convenzione di Budapest) il provvedimento, solo apparentemente settoriale, segnò l’inizio di un percorso che avrebbe portato a ripensare l’approccio investigativo ai reati informatici in tutto il pianeta.

Tale rivoluzione concettuale – nell’analisi di Gabrielli – consiste nell’adozione di un approccio multilivello, che vede sulla “scena del crimine informatico” diversi attori istituzionali, ciascuno portatore di competenze specifiche ma complementari.

«Oggi sulla stessa scena si presentano varie istituzioni», ha spiegato, «in risposta alle varie esigenze che si manifestano in seguito a un attacco cyber: l’esigenza di investigare, di rimettere in piedi i sistemi colpiti e di proteggere altri sistemi analoghi, nonché l’esigenza della lettura del fatto dal punto di vista della sicurezza nazionale ed eventualmente anche in termini di difesa nazionale».

Questa multidimensionalità del fenomeno, oltre alla compresenza di diversi attori, richiede anche una loro istituzionalizzazione. Se infatti sono sempre esistiti momenti di contatto tra Polizia giudiziaria e agenzie di intelligence, oggi ciò avviene attraverso organismi di coordinamento dedicati, come il Nucleo per la Cyber Sicurezza (NCS) o il Comitato di Analisi Strategica per la Sicurezza Cibernetica del Ministero dell’Interno; quest’ultimo esplicitamente modellato sull’esperienza delle strutture Antiterrorismo, a riprova della percezione della minaccia cyber come questione prioritaria di sicurezza nazionale.

La crescente complessità delle minacce informatiche ha imposto altresì un’evoluzione degli strumenti giuridici a disposizione degli investigatori. In merito, la Legge 137 del 2023 ha esteso al campo dei crimini digitali la possibilità di condurre operazioni sotto copertura, permettendo operazioni più incisive contro fenomeni come gli attacchi ransomware.

«Oggi», ha sottolineato Gabrielli, «non possiamo pensare di condurre attività investigative sulle organizzazioni responsabili di attacchi ransomware senza poter svolgere attività undercover, che ci danno la possibilità di andare oltre la semplice trattativa».

A questi strumenti si aggiungono le intercettazioni telematiche e l’introduzione della figura del collaboratore di giustizia nel settore cyber, anch’essa mutuata dall’esperienza nel contrasto alla criminalità organizzata tradizionale.

«Stiamo parlando veramente di un modo nuovo di concepire istituti giuridici che un tempo erano puntualmente riconducibili all’interno di singole competenze od organismi dello Stato: ora è tempo di ridefinire ruoli e responsabilità, per evitare il rischio di lasciare zone grigie e disperdere energie investigative» ha concluso Gabrielli, delineando così i contorni di un’autentica rivoluzione metodologica nell’approccio alle indagini sui reati informatici.

La ridefinizione della giurisdizione: il contributo del Dipartimento per gli Affari di Giustizia

L’intervento del dott. , Capo del Dipartimento per gli Affari di Giustizia, ha introdotto nel dibattito un’ulteriore dimensione fondamentale, relativa al tema della giurisdizione.

Laddove infatti i crimini digitali travalicano sistematicamente i confini nazionali, il tradizionale principio di giurisdizione su base territoriale affronta una crisi epistemologica senza precedenti.

Birritteri ha esordito mettendo in guardia la platea dall’eccessiva “procedimentalizzazione” in tema di prove digitali, che rischia di ritardare la risposta ai reati cyber.

Ha quindi condiviso riflessioni maturate nell’esperienza da capo della delegazione italiana alle Nazioni Unite per l’elaborazione della Convenzione ONU sul Cybercrime, evocando «lo “squagliarsi” del concetto di giurisdizione come l’abbiamo conosciuta negli ultimi 100 anni, connessa al territorio inteso come spazio fisico».

In altre parole, la giurisdizione – tradizionalmente ancorata ai confini geografici e politici, delimitazione fondamentale degli Stati moderni – va oggi applicata a una realtà in cui le azioni criminali si compiono in uno spazio virtuale, senza confini definiti, sfuggendo così alle maglie tradizionali dell’esercizio del potere giurisdizionale.

Coerentemente, il relatore ha sottolineato come la risposta a questa sfida debba necessariamente collocarsi sul piano degli accordi sovranazionali.

Se la Convenzione rappresenta un passo nella giusta direzione, il cammino verso un sistema giurisdizionale adeguato all’era digitale è ancora lungo e irto di ostacoli sia pratici che concettuali; primo fra tutti l’obbligo di bilanciare le previsioni normative con la tutela dei diritti umani, senza lasciare che le differenze giuridiche e culturali tra diversi Stati consentano di “forzare la mano” rispetto alla difesa delle libertà democratiche.

L’intervento di Birritteri, necessariamente cauto dato il suo ruolo istituzionale – «la mia attuale delicata posizione non mi consente di spoilerare», ha precisato con una punta di ironia – ha tuttavia lasciato intendere che il Ministero della Giustizia stia lavorando attivamente per adeguare il quadro normativo alle sfide poste dalla criminalità informatica transnazionale, nell’ambito di un più ampio ripensamento degli strumenti giuridici tradizionali.

Il Settore Privato: da oggetto passivo a soggetto attivo della sicurezza informatica

Un elemento distintivo e innovativo del modello italiano in via di definizione è il progressivo riposizionamento del settore privato nel panorama della cybersicurezza.

Se tradizionalmente le aziende erano considerate semplici vittime degli attacchi informatici – o, nel migliore dei casi, testimoni durante la fase investigativa – oggi si assiste a una loro progressiva responsabilizzazione e integrazione come partner attivi nel sistema di prevenzione e risposta alle minacce.

Gabrielli ha delineato questa evoluzione in termini concreti e operativi, citando l’individuazione di referenti aziendali specializzati in cybersicurezza e l’istituzione della figura degli ausiliari di Polizia giudiziaria specificamente formati per il contesto cyber, nonché lo sviluppo di protocolli che chiariscono le responsabilità e i poteri dei privati.

«A questo punto, anche la parte privata deve avere un ruolo; e deve essere un ruolo a mio avviso strutturato», ha affermato, argomentando che ciò consentirebbe anche di «responsabilizzare e dare adeguati poteri a chi oggi è chiamato a intervenire, a vario titolo, nelle fasi di risposta agli incidenti e successive indagini».

Questa formalizzazione del ruolo del settore privato risponde a una necessità pratica imprescindibile: evitare di lasciare “zone grigie” in cui gli operatori, nel tentativo legittimo di proteggere i propri sistemi, rischiano di compromettere prove fondamentali o, paradossalmente, di diventare essi stessi oggetto di indagine per aver manipolato dati rilevanti per le indagini.

La costruzione di questo nuovo ruolo del settore privato si inserisce in una più ampia ridefinizione dell’ecosistema della cybersicurezza nazionale, in cui pubblico e privato non incarnano più entità separate (e talvolta contrapposte) ma nodi di una rete integrata di competenze e responsabilità, ciascuno con un proprio ruolo specifico eppure interconnesso con gli altri, in una logica sistemica basata sulla cooperazione.

La Privacy come baluardo democratico: la visione di Stanzione

In questa complessa trama di trasformazioni istituzionali e normative, l’intervento del prof. Pasquale Stanzione ha approfondito una dimensione fondamentale: quella del rapporto dialettico tra sicurezza e libertà all’interno delle società democratiche contemporanee.

«Il rapporto tra privacy ed esigenze investigative» – ha esordito il Presidente dell’Autorità Garante per la Protezione dei Dati Personali – «è uno degli indici più significativi della resilienza di una democrazia».

Cruciale, nella costante (ri)modulazione di questo rapporto, è il principio di proporzionalità richiamato tanto dalla Costituzione italiana quanto dalla Carta dei diritti fondamentali dell’UE; principio sul quale la Corte di Giustizia europea ha basato un’innovativa giurisprudenza volta a «rivedere la disciplina della data retention sotto il duplice profilo dell’estensione temporale e delle garanzie di terzietà, con conseguente giurisdizionalizzazione della procedura acquisitiva dei dati».

Se è infatti vero che nelle strategie di contrasto alla criminalità e al terrorismo dobbiamo diventare più efficaci, ciò non deve mai portarci ad accettare di essere meno liberi, soprattutto perché non tutte le limitazioni delle libertà sono davvero in grado di renderci più sicuri.

In merito Stanzione ha citato i bias tipici dei sistemi di riconoscimento facciale basati sull’AI, rispetto alle quali esiste il concreto rischio di accettare forme di controllo che, peraltro, «non potrebbero mai indurre una reale sicurezza».

Rafforzare il sistema di “checks and balances” a tutela dei diritti fondamentali, mediante previsioni tassative che limitino l’ammissibilità di strumenti invasivi ai soli casi necessari, è allora il solo modo per scongiurare il rischio che l’azione investigativa finisca per degenerare in sorveglianza di massa, portandoci a «rinnegare le radici stesse della democrazia».

Stanzione ha ricordato come ciò costituisca un elemento dirimente delle libertà democratiche: «Non dobbiamo mai dimenticare che la logica del “nulla da nascondere” è stata da sempre il leitmotiv dei regimi totalitari».

Un’affermazione che vede la privacy non più in contrapposizione ma, anzi, in sinergia con una sicurezza intesa come condizione abilitante per l’esercizio delle libertà fondamentali entro un contesto digitale sempre più pervasivo.

Rispondendo a una domanda sul complesso tema del “dossieraggio”, Stanzione ha infatti concluso il proprio intervento con una nota cautamente positiva. «Nell’età dell’ansia e dell’incertezza, vorrei dare qualche elemento di tranquillità. Per quanto gravissime, le recenti vicende (su cui sono in corso le dovute istruttorie del Garante) rappresentano fatti “patologici”, senza essere di certo la normalità; e confermano, semmai, la necessità di una governance lungimirante che ponga al centro la protezione dei dati, tra i pochi presidi capaci di orientare l’innovazione in direzioni compatibili con la tutela delle persone».

Il “nodo gordiano” del processo penale: bilanciare efficacia e garanzie nell’era digitale

Al cuore del dibattito si colloca, pertanto, una tensione fondamentale e per certi versi irrisolta: quella tra esigenze operative della cybersicurezza – che richiedono rapidità di intervento e flessibilità degli strumenti – e principi del garantismo penale, ancorati a una tradizione consolidatasi nei secoli.

La prof.ssa Curtotti ha ribadito come l’impianto valoriale della Costituzione italiana, concepito in un’epoca pre-digitale, ponga talvolta limiti significativi alla velocità e all’efficacia della risposta investigativa.

Questo divario genera una tensione strutturale che vede, da un lato, l’urgenza di rispondere in tempo reale alle minacce informatiche; dall’altro, la necessità di rispettare le garanzie processuali e i diritti individuali che costituiscono l’ossatura dello Stato di diritto.

La sfida principale è stata identificata dalla moderatrice in quella che ha definito «eccessiva procedimentalizzazione dell’acquisizione probatoria», con cui si rischia di creare «momenti endoprocedimentali» tali da rallentare la risposta investigativa.

In un contesto dove gli attacchi informatici possono svilupparsi in pochi attimi e propagarsi a velocità esponenziale, nonché dove le prove possono essere cancellate o alterate con la medesima rapidità, le tempistiche del processo tradizionale rischiano di tradursi in inefficacia; d’altronde, sacrificare le garanzie processuali sull’altare dell’efficienza investigativa significherebbe minare i fondamenti stessi dello Stato di diritto.

Emerge così un complesso bilanciamento tra esigenze di sicurezza e rapidità d’azione, garanzie individuali e diritti fondamentali, efficacia investigativa e utilizzabilità processuale delle prove digitali.

«È un problema di bilanciamento di interessi e di valori: sicurezza e garanzie individuali, sicurezza e processo penale, sicurezza e diritti fondamentali…» ha sintetizzato Curtotti, delineando il nucleo di una questione che trascende gli aspetti puramente tecnici o procedurali per investire i fondamenti stessi della concezione di giustizia nell’era digitale.

L’Ecosistema italiano della sicurezza informatica: un laboratorio di innovazione normativa

Grazie alle diverse voci coinvolte nel dibattito, è stato possibile delineare un modello italiano di contrasto al cybercrime caratterizzato da svariati elementi distintivi, che configurano un approccio originale alle sfide della sicurezza nell’era digitale.

In primo luogo un’integrazione istituzionale che, pur rispettando le diverse competenze, favorisce il dialogo e la collaborazione tra autorità diverse: l’ACN come perno della strategia preventiva, la Polizia Postale con il suo ruolo investigativo in evoluzione, i servizi di intelligence con la loro capacità di lettura geopolitica delle minacce e la magistratura con il suo ruolo di garanzia giurisdizionale e l’Autorità per la protezione dei dati come presidio dei diritti fondamentali nell’ecosistema digitale.

In secondo luogo, un approccio sistemico che non si limita alla protezione delle infrastrutture critiche ma abbraccia l’intero tessuto economico e sociale; con un’attenzione particolare alle PMI, in quanto peculiarità del sistema produttivo italiano e, al contempo, uno tra gli anelli più vulnerabili nella sicurezza digitale del paese.

Un terzo elemento caratterizzante è il crescente coinvolgimento del settore privato, che da destinatario passivo di misure di protezione diventa partner attivo nella prevenzione e risposta agli incidenti, con ruoli e responsabilità formalmente definiti all’interno del sistema.

A questi si aggiunge l’evoluzione degli strumenti giuridici che cerca di adattarsi alle specificità del dominio cyber, introducendo risorse come le operazioni sotto copertura o la figura del collaboratore di giustizia nel settore informatico, mutuati dall’esperienza nel contrasto ad altre forme di criminalità organizzata.

Il tutto si inscrive in un costante – e talvolta complesso – bilanciamento tra esigenze di sicurezza e tutela dei diritti fondamentali, con una particolare attenzione al valore della privacy come elemento costitutivo della democrazia, in una dialettica che non contrappone sicurezza e libertà ma le concepisce come dimensioni sempre più complementari.

Infine, il modello italiano si caratterizza per una forte proiezione internazionale; nella consapevolezza che le sfide poste dal cybercrime possono essere affrontate efficacemente solo nel quadro di una cooperazione globale che richiede di ripensare profondamente alcuni concetti fondamentali, tra cui la giurisdizione su base territoriale.

Questo modello, ancora in evoluzione e per certi versi sperimentale, qualifica l’Italia come laboratorio di innovazione istituzionale e normativa, nonché potenziale modello di riferimento per altri paesi. La vera sfida per il futuro sarà mantenere l’equilibrio dinamico tra efficacia operativa e rispetto dei principi fondamentali in un contesto tecnologico caratterizzato da minacce cyber sempre più sofisticate e pervasive.

Il panel si è concluso con un approfondimento sulla regolamentazione normativa dell’Intelligenza Artificiale: i relatori hanno concordato sulla necessità di proseguire nella ricerca e nella sperimentazione sull’AI, senza lasciare che le pur necessarie cautele rallentino eccessivamente lo sviluppo di una tecnologia dall’enorme potenziale.

A emergere dalla Tavola Rotonda è allora l’immagine di un paese che, sebbene sia partito in ritardo nella corsa alla cybersicurezza, sta recuperando terreno grazie a un approccio che combina pragmatismo operativo e sensibilità ai valori dello Stato di diritto. Un equilibrio difficile, frutto di costanti negoziazioni, che tuttavia – in un’epoca in cui la dimensione digitale e fisica appaiono ormai indissolubilmente intrecciate – costituisce l’autentica peculiarità del “modello italiano” di contrasto al cybercrime.

https://www.ictsecuritymagazine.com/articoli/contrasto-cybercrime/

Intervenendo alla 13ª Cybercrime Conference, Glen Prichard – Capo della Sezione Cybercrime e Riciclaggio di Denaro dell’Ufficio delle Nazioni Unite contro la Droga e il Crimine (UNODC) – ha illustrato i punti salienti della Convenzione ONU sulla criminalità informatica, che ridefinisce la cooperazione tra 155 nazioni contro le minacce digitali.

Dal 2019 al 2024: Il complesso cammino negoziale verso un consenso globale

Dopo anni di negoziati e confronti diplomatici, le Nazioni Unite hanno finalmente raggiunto un accordo su un nuovo trattato internazionale: la “Convenzione delle Nazioni Unite sulla lotta contro l’uso delle tecnologie dell’informazione e della comunicazione a fini criminali” rappresenta una pietra miliare nella cooperazione internazionale contro la criminalità informatica, introducendo un quadro giuridico condiviso per affrontare le sfide dell’ecosistema digitale.Come ha spiegato Prichard, il nuovo trattato è il risultato di un processo negoziale iniziato nel 2019 e conclusosi nell’agosto 2023, con l’adozione formale del testo definitivo da parte dell’Assemblea Generale delle Nazioni Unite nel dicembre 2024.

«È una vittoria per il multilateralismo», ha sottolineato il relatore: «il fatto che siamo riusciti a ottenere un consenso tra 155 paesi per concordare una via da seguire in relazione a come combattere e prevenire il cybercrime è un risultato importante, particolarmente in questo mondo geopoliticamente diviso in cui viviamo al momento».

UNODC: Custode di un nuovo paradigma giuridico internazionale contro il crimine digitale

L’UNODC (Ufficio delle Nazioni Unite contro la Droga e il Crimine) è l’organismo depositario di una serie di trattati dedicati alla giustizia penale, tra cui la Convenzione delle Nazioni Unite contro la Criminalità Organizzata Transnazionale (conosciuta come Convenzione di Palermo) e la Convenzione contro la Corruzione (UNCAC).

La nuova Convenzione sul Cybercrime rappresenta il primo nuovo trattato degli ultimi 21 anni in campo di giustizia penale.

Prichard ha spiegato che persino il titolo della Convenzione riflette la complessità dei negoziati: «Non siamo riusciti a raggiungere una posizione unanime, per cui l’abbiamo semplicemente chiamata “Convenzione delle Nazioni Unite contro il Cybercrime”. Penso che questo sia rappresentativo di quanto siano delicate e complesse le questioni che affrontiamo».

Dalla firma alla piena operatività: tempistiche e sfide dell’implementazione mondiale

La Convenzione è stata formalmente adottata dall’Assemblea Generale delle Nazioni Unite nel dicembre 2024.

Prichard ha ricordato che nell’ottobre 2025 si terrà la cerimonia di firma ad Hanoi, in Vietnam; a partire da quel momento, il trattato rimarrà aperto alla firma fino al dicembre 2026. Successivamente i paesi dovranno procedere con il processo di ratifica, che varia da nazione a nazione. La Convenzione entrerà in vigore dopo che almeno 40 paesi l’avranno ratificata.

«Abbiamo molto lavoro davanti a noi prima che sia effettivamente operativa», ha avvertito il relatore.

I quattro pilastri fondamentali: cooperazione, assistenza tecnica, armonizzazione legale e scambio di prove

Il fulcro della Convenzione è il rafforzamento della cooperazione internazionale, in relazione sia al cybercrime sia alle prove elettroniche necessarie alle indagini su altre tipologie di reati.

Inoltre, il trattato prevede forme di assistenza tecnica ai paesi a basso e medio reddito, per garantire che le loro capacità digitali siano portate a un livello tale da poter cooperare con altri paesi.

Un ulteriore aspetto fondamentale è l’armonizzazione normativa: la Convenzione introduce «disposizioni per lo scambio di prove elettroniche in relazione a qualsiasi reato» e per «ogni reato grave in termini di cooperazione internazionale», intendendosi per reato grave «qualsiasi reato punito con una pena detentiva di almeno quattro anni».

Nuovi reati digitali e procedure transfrontaliere: un framework penale per l’era digitale

La Convenzione definisce i tipici crimini informatici (come l’hacking e l’accesso illegale) in cinque distinti articoli. Prichard ha sottolineato l’importanza di queste definizioni: «Creare un’armonizzazione legale ci permette di cooperare oltre i confini nazionali».

Il trattato introduce anche una serie di reati facilitati dal cyberspazio, tra cui alcuni che non erano mai stati menzionati dal diritto internazionale in precedenza, come l’adescamento online di minori e la diffusione non consensuale di immagini intime.

Per quanto riguarda le procedure, la Convenzione distingue tra cooperazione nazionale e internazionale; e parla di «misure provvisorie in situazioni di emergenza», ad esempio in materia di conservazione ed emissione di ordini di produzione, acquisizione o scambio di prove digitali.

Inoltre «si crea una rete di comunicazione 24 ore su 24, 7 giorni su 7, istituendo una modalità in cui i paesi possono comunicare tra loro in tempo quasi reale», ha evidenziato Prichard.

Equilibrio tra sicurezza e libertà: le garanzie per i diritti umani nel contesto digitale

Le garanzie relative ai diritti umani sono incorporate nel trattato, sebbene Prichard abbia ammesso che questo aspetto ha richiesto «una difficile negoziazione durante il processo negoziale per la Convenzione».

Queste garanzie, «in linea con tutti gli standard internazionali», costituiscono «il più forte insieme di tutele dei diritti umani che si possano trovare in qualsiasi trattato di giustizia penale»; Prichard ha aggiunto che sono «equivalenti a ciò che si trova nella Convenzione di Budapest».

La Convenzione prevede inoltre casi in cui è possibile rifiutare l’assistenza se c’è un conflitto con la legge nazionale, nonché motivazioni per respingere richieste di estradizione su queste stesse basi.

Complementarietà strategica: come la Convenzione ONU si integra e si distingue dalla Convenzione di Budapest

La Convenzione di Budapest, sviluppata dal Consiglio d’Europa, è stata finora il principale strumento internazionale per combattere il cybercrime.

Prichard ha sottolineato che la nuova Convenzione ONU è «molto simile alla Convenzione di Budapest nella maggior parte delle sue disposizioni operative» ed è «deliberatamente concepita come sua integrazione».Esistono, tuttavia, alcune differenze tra i due trattati: la Convenzione ONU introduce nuovi reati non previsti dalla Convenzione di Budapest, come l’adescamento online di minori, la diffusione non consensuale di immagini intime e il riciclaggio dei proventi di reati inclusi nella convenzione stessa.
D’altra parte, la Convenzione di Budapest includeva un reato non presente nella Convenzione ONU, relativo alla violazione della proprietà intellettuale o del copyright.

Un’altra differenza riguarda la condivisione delle prove elettroniche: nella Convenzione di Budapest questa si estende a qualsiasi reato previsto nel testo, mentre nella Convenzione ONU la cooperazione internazionale è limitata ai reati gravi (punibili con quattro anni o più di reclusione).

Inclusività globale: perché il mondo aveva bisogno di un nuovo trattato oltre alla Convenzione di Budapest?

Prichard ha affrontato una domanda frequente: perché era necessaria una nuova Convenzione sulla criminalità informatica, se esisteva già quella di Budapest?

La risposta principale è che molti paesi – soprattutto appartenenti al cosiddetto “Sud globale” – non avevano partecipato ai negoziati della Convenzione di Budapest, che era stata sviluppata principalmente dagli Stati membri dell’Unione Europea.

«I paesi del Sud del mondo sentono di non aver fatto parte di quel processo, mentre questa volta hanno partecipato ai negoziati», ha spiegato.

«Nel caso della Convenzione ONU, ben 155 diversi paesi erano riuniti attorno al tavolo. E vi hanno portato visioni differenti, sistemi non concordanti tra loro, questioni culturali… tutto ha giocato un ruolo nello sviluppo di questa nuova Convenzione».

Verso un futuro di cooperazione digitale: prospettive e sfide dell’implementazione globale

Prichard ha concluso il suo intervento esprimendo un cauto ottimismo sul futuro della Convenzione ONU.

Nelle sue parole, questa «sarà uno strumento significativo per consentire ai diversi paesi di cooperare a livello globale; ma ci vorrà del tempo prima che venga ratificata e sia effettivamente operativa».

La Convenzione delle Nazioni Unite contro il Cybercrime rappresenta quindi un passo importante verso un approccio globale alla lotta contro la criminalità informatica, creando un quadro comune rispettoso delle diverse tradizioni giuridiche e culturali, nonché fornendo strumenti concreti per una cooperazione internazionale capace di affrontare le sfide del mondo digitale.

https://www.ictsecuritymagazine.com/articoli/convenzione-onu-cyber/

The FBI says former federal and state government officials are targeted with texts and AI-generated voice messages impersonating senior US officials.

The post FBI Warns of Deepfake Messages Impersonating Senior Officials appeared first on SecurityWeek.

https://www.securityweek.com/fbi-warns-of-deepfake-messages-impersonating-senior-officials/

Once a key figure in the Angler exploit kit underworld, Tarasov’s life has unraveled into detention, paranoia, and an unwanted return to the Russia he publicly despised.

The post Andrei Tarasov: Inside the Journey of a Russian Hacker on the FBI’s Most Wanted List appeared first on SecurityWeek.

https://www.securityweek.com/andrei-tarasov-inside-the-journey-of-a-russian-hacker-on-the-fbis-most-wanted-list/

Apr 04, 2025 Marina Londei Approfondimenti, Attacchi, Campagne malware, In evidenza, Minacce, News, RSS 0

---

L’Italia è tra i principali obiettivi del cybercrime in Europa e non solo: secondo il Rapporto sulle tendenze della criminalità high-tech 2025 pubblicato da Group-IB, il nostro Paese è uno dei più colpiti dell’area europea, sia da minacce APT che da campagne malware.

Secondo il report, l’Italia conta il 5,3% degli attacchi APT nel 2024. Durante lo scorso anno, anche gli hacktivisti hanno spostato la loro attenzione verso il nostro Paese, tra i più colpiti dell’Europa con il 3,4% degli attacchi.

Se si guarda alle operazioni degli Initial Access Broker, l’Italia è tra le prime cinque nazioni più colpite con il 9,9% degli attacchi; anche a livello globale si posiziona tra i primi posti con il 2,4% degli incidenti.

Le statistiche parlano di 10.994 host compromessi solo nel 2024, anche in questo caso un triste primato in Europa. Lo scorso anno si sono inoltre verificati 18 grandi data leak, posizionando l’Italia tra i primi 10 Paesi al mondo per numero e impatto dei breach. 

Oltre l’Italia: il cybercrime in Europa

Oltre all’Italia, l’intera Europa ha sofferto di un intensificazione degli attacchi (+18,25%), dovuta in buona parte alle tensioni geopolitiche sempre più difficili da gestire. La situazione attuale ha portato anche a un aumento dell’hacktivismo, soprattutto in Ucraina (16,9% degli attacchi).

In Europa sono aumentate anche le frodi, in particolare nel settore finanziario che conta il 34% di tutte le truffe; a seguire troviamo il settore dei trasporti (25%) e quello del governo e delle forze militari (17%).

In significativa crescita anche gli attacchi di phishing: nel 2024 sono stati esposti oltre 80.000 siti web di phishing (+22% rispetto al 2023). Se al livello mondiale è stato il settore della logistica il più colpito da questo fenomeno, in Europa è stato il settore dei viaggio l’obiettivo principale con il 57,6% degli attacchi. Il report di Group-IB evidenzia che i cybercriminali stanno sfruttando sempre di più la tecnologia deepfake per mettere a punto campagne di phishing efficaci.

Aumenta anche l’economia del Ransomware-as-a-service, con i criminali informatici che stanno incrementando in maniera proattiva la portata del fenomeno. Dal report emerge che LockBit e RansomHub sono i gruppi dominanti a livello europeo e mondiale, in grado di sfruttare queste reti allargati di cybercriminali per massimizzare l’impatto delle campagne. Il settore manifatturiero continua a essere quello maggiormente preso di mira dal cybercrime, sia in Italia che in Europa.

Infine, il dark web è un mercato che appare sempre più fiorente: l’accesso ai sistemi aziendali è particolarmente redditizio per i cybercriminali. L’impennata è evidente soprattutto in Europa dove i casi sono aumentati del 32%. Il Regno Unito è il primo obiettivo europeo con il 19,5% degli attacchi.

“Il nostro rapporto mette in luce l’inarrestabile espansione dell’economia del dark web, alimentata da tattiche di criminalità informatica sempre più sofisticate” ha dichiarato Dmitry Volkov, CEO di Group-IB. “I criminali informatici non si limitano a sfruttare le vulnerabilità, ma sfruttano l’instabilità geopolitica per paralizzare i settori critici in tutto il mondo. Le APT, le violazioni dei dati, il phishing e il ransomware non avvengono in modo isolato, ma si alimentano a vicenda, formando una rete di minacce vasta e interconnessa. La necessità di costruire comunità di cybersecurity resilienti e di adottare strategie di sicurezza avanzate non è mai stata così critica per combattere queste minacce prima che si evolvano ulteriormente. Non c’è tempo da perdere: le organizzazioni devono adottare subito misure proattive per rimanere al passo con gli attori delle minacce“.

---

---

---

https://www.securityinfo.it/2025/04/04/italia-e-tra-gli-obiettivi-principali-del-cybercrime/?utm_source=rss&utm_medium=rss&utm_campaign=italia-e-tra-gli-obiettivi-principali-del-cybercrime

Uno degli ultimi sviluppi nel panorama della cybersecurity e della sorveglianza digitale riguarda Paragon Solutions, un’azienda israeliana fondata nel 2019, il cui spyware Graphite si distingue per le sue avanzate capacità di infiltrazione nei dispositivi mobili e per il controverso posizionamento etico che la società sostiene di adottare. Questo articolo analizza le operazioni di Paragon, le sue implicazioni globali e il recente coinvolgimento in casi di sorveglianza mirata in diversi paesi, tra cui l’Italia e il Canada.

Paragon Solutions: struttura e mission

Fondata da Ehud Barak (ex primo ministro israeliano) e Ehud Schneorson (ex comandante dell’Unità 8200 dell’IDF), Paragon Solutions ha rapidamente guadagnato attenzione nel mercato degli spyware per il suo prodotto di punta, Graphite. A differenza di software come Pegasus della NSO Group, che garantisce il controllo completo di un dispositivo infetto, Graphite si concentra esclusivamente sull’accesso alle applicazioni di messaggistica istantanea.

Paragon afferma di vendere esclusivamente a governi che “rispettano i diritti umani e le norme internazionali”, evitando di collaborare con regimi autoritari. Tuttavia, il recente report del Citizen Lab dell’Università di Toronto ha sollevato dubbi su queste affermazioni, evidenziando l’utilizzo di Graphite in contesti problematici.

Mappatura dell’infrastruttura e distribuzione

Le indagini di Citizen Lab hanno permesso di individuare una parte significativa dell’infrastruttura di Graphite, composta da server cloud e da nodi di comando e controllo (C2) situati in paesi come Australia, Canada, Cipro, Danimarca, Israele e Singapore.

Uno degli aspetti più interessanti dello studio riguarda l’identificazione di clienti governativi potenziali. In Canada, l’Ontario Provincial Police (OPP) è stata individuata come possibile utilizzatrice di Graphite, sollevando preoccupazioni sulla proliferazione dello spyware tra le forze dell’ordine canadesi. Il fenomeno si inserisce in un contesto più ampio di crescente interesse delle forze di polizia per strumenti di sorveglianza avanzata, spesso senza adeguate garanzie di trasparenza e accountability.

Il caso italiano e le implicazioni per i Diritti Civili

Un aspetto particolarmente delicato dello studio riguarda l’uso di Graphite in Italia, dove Meta (WhatsApp) ha notificato a oltre 90 utenti di essere stati presi di mira da uno zero-click exploit di Paragon. Tra i soggetti coinvolti figurano giornalisti e attivisti impegnati nella difesa dei diritti umani e nella gestione delle crisi migratorie nel Mediterraneo.

In particolare, i dispositivi di Luca Casarini (Mediterranea Saving Humans) e del giornalista Francesco Cancellato (Fanpage.it) hanno mostrato segni di infezione. Anche Giuseppe Caccia, co-fondatore di Mediterranea Saving Humans, è risultato tra gli obiettivi del malware. Questi episodi sollevano interrogativi sul ruolo delle istituzioni italiane: il governo, dopo iniziali smentite, ha dovuto ammettere l’esistenza di un contratto con Paragon, generando un acceso dibattito politico.

L’intervento del Garante Privacy e le indagini in corso

Paragon Solutions è recentemente finita al centro del dibattito nazionale e internazionale, tanto che il Garante per la Protezione dei Dati Personali è intervenuto con un monito severo. Il 14 febbraio 2025, l’Autorità ha emesso una nota ufficiale avvertendo che l’uso di spyware come Graphite potrebbe violare il Codice Privacy italiano. Il comunicato ha specificato che tali attività, se svolte al di fuori degli usi consentiti dalla legge, possono comportare sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo.

Nel frattempo, il Comitato parlamentare per la sicurezza della Repubblica (Copasir) ha annunciato un’audizione sull’uso di Graphite in Italia. Secondo indiscrezioni, due clienti italiani sarebbero un’agenzia di intelligence e un corpo di polizia, che avrebbero utilizzato lo spyware per scopi investigativi. Tuttavia, a seguito delle rivelazioni di Meta e Citizen Lab, Paragon avrebbe deciso di rescindere il contratto con l’Italia, sostenendo la violazione delle clausole contrattuali che escludono l’uso contro soggetti non implicati in reati.

Parallelamente, l’Agenzia per la Cybersicurezza Nazionale (ACN) sta conducendo una due diligence per verificare eventuali violazioni normative. Questa vicenda ha riportato alla luce il delicato equilibrio tra esigenze di sicurezza nazionale e tutela della privacy dei cittadini.

Strategie di attacco e sfide per la Digital Forensics

Uno degli aspetti più innovativi di Graphite riguarda la sua capacita di mascherarsi all’interno di applicazioni legittime, evitando così di lasciare tracce evidenti nei sistemi infettati. Questa tecnica rende estremamente complesso il rilevamento del malware attraverso strumenti tradizionali di analisi forense.

Il team di Citizen Lab ha identificato un marker forense denominato BIGPRETZEL, associato alla presenza di Graphite su dispositivi Android. Tuttavia, i tentativi di infezione su iPhone non hanno ancora una chiara attribuzione, sebbene l’attacco subito da David Yambio, attivista per i diritti dei migranti, presenti elementi compatibili con le metodologie di Paragon.

Risposta Internazionale e Regolamentazione

Le rivelazioni su Paragon si inseriscono in un contesto di crescente pressione internazionale per regolamentare il mercato degli spyware mercenari. Negli Stati Uniti, il governo ha recentemente bloccato contratti tra Paragon e agenzie federali, mentre in Canada le associazioni per i diritti civili chiedono maggiore trasparenza sull’uso di questi strumenti da parte delle forze dell’ordine.

L’Unione Europea, dal canto suo, si trova di fronte a una sfida complessa: se da un lato l’Italia ha una lunga storia nella produzione di spyware (Hacking Team, RCS Lab, Cy4gate), dall’altro emergono sempre più prove dell’uso di queste tecnologie contro giornalisti e attivisti.

Conclusioni

Il caso Paragon evidenzia come anche aziende che si dichiarano “responsabili” nel settore degli spyware possano finire coinvolte in casi di sorveglianza indiscriminata. L’illusione di uno spyware “a prova di abuso” viene smentita dalla realtà dei fatti: anche in democrazie consolidate, la tentazione di utilizzare queste tecnologie in modo improprio è forte.

Le rivelazioni su Graphite rappresentano un monito per governi e aziende tecnologiche: la lotta contro lo spyware mercenario richiede non solo strumenti di difesa avanzati, ma anche una chiara volontà politica di prevenire e sanzionare gli abusi. Nel frattempo, l’ecosistema di esperti, giornalisti e organizzazioni per i diritti civili continuerà a svolgere un ruolo cruciale nel portare alla luce questi casi e nel chiedere maggiore trasparenza e responsabilità da parte di governi e aziende del settore.

https://www.ictsecuritymagazine.com/notizie/paragon-graphite-spyware/

Il termine security breach (violazione della sicurezza) rappresenta uno degli scenari più complessi e critici che aziende e organizzazioni possano affrontare nel contesto attuale. Questa espressione si riferisce a qualsiasi episodio in cui un sistema di sicurezza viene compromesso, permettendo l’accesso non autorizzato a risorse, reti o strutture protette. La portata del concetto è vasta e può includere sia intrusioni fisiche che attacchi informatici, con conseguenze devastanti a livello economico, operativo e reputazionale.

La natura del security breach

Un security breach si verifica nello specifico quando un individuo o un’entità non autorizzata riesce a ottenere accesso a risorse riservate, violando i meccanismi di protezione implementati. A differenza del data breach, che implica specificamente l’accesso non autorizzato e la sottrazione di dati sensibili, il security breach è un concetto più ampio, comprendendo ogni compromissione del perimetro di sicurezza. Si tratta di azioni intenzionali mirate a causare incidenti di sicurezza con l’obiettivo di danneggiare i sistemi di elaborazione e compromettere le informazioni, potendo includere eventualmente anche i dati personali. Lo scopo di tali attacchi è consentire ai criminal hacker, cosiddetti “pirati informatici”, di ottenere un guadagno, un profitto illecito.

Un esempio concreto è rappresentato dai casi in cui si riesce a sabotare un sistema informatico aziendale, compromettendone il funzionamento, per perseguire diversi fini come:

• Avvantaggiare la concorrenza danneggiando l’operatività dell’azienda bersaglio;
• Sottrarre dati sensibili con l’intento di ricattare l’organizzazione o ottenere guadagni economici;
• Compiere azioni dimostrative per scopi terroristici o per ottenere visibilità mediatica.

In generale, gli attacchi informatici riusciti portano quasi sempre a incidenti significativi e possono causare data breach, sebbene queste violazioni possano anche verificarsi indipendentemente dalla riuscita di un attacco mirato.

La consapevolezza riguardo ai danni che un incidente informatico può causare è però ancora piuttosto scarsa, anche tra le imprese. Solo da poco si sta iniziando a comprendere l’importanza di una solida sicurezza informatica, con interventi sulle infrastrutture di rete e l’adozione di misure adeguate a salvaguardare i sistemi IT aziendali.

Certo è che, il fattore “smart working” ha con tutta evidenza, indebolito una volta di più le misure tecniche favorendo invece i criminali.

Analisi delle principali tipologie di security breach

Le violazioni della sicurezza possono essere classificate in diverse categorie, ciascuna caratterizzata da modalità di attacco differenti. Le violazioni della sicurezza fisica riguardano l’accesso non autorizzato a edifici, data center o uffici aziendali. Tali intrusioni possono avvenire mediante sottrazione di dispositivi hardware contenenti informazioni sensibili, accesso a strutture riservate attraverso tecniche come il tailgating o persino attacchi diretti volti a danneggiare infrastrutture critiche.

Sul fronte logico, le violazioni possono manifestarsi tramite il superamento dei firewall aziendali o lo sfruttamento di vulnerabilità nei sistemi di rete e nelle applicazioni software. Gli endpoint, come computer e dispositivi mobili, spesso rappresentano punti deboli sfruttabili dai cybercriminali. In molti casi, gli attacchi informatici mirano alla manipolazione del fattore umano, come i dipendenti, attraverso tecniche di social engineering, come phishing e pretexting, inducendo le vittime a rivelare credenziali di accesso o informazioni riservate. In questi casi, le aziende possono adottare misure disciplinari nei confronti dei dipendenti coinvolti, ma devono anche dimostrare di aver fornito una formazione adeguata e di aver implementato politiche di sicurezza efficaci.

L’ingegneria sociale è appunto l’atto di manipolare psicologicamente le persone inducendole a compromettere involontariamente la propria sicurezza informatica.

I metodi di attacco utilizzati nei security breach sono numerosi e complessi. Gli attacchi basati sullo sfruttamento di vulnerabilità tecniche, come exploit zero-day o sistemi non aggiornati, sono tra i più diffusi. Alcuni attacchi sfruttano credenziali compromesse per ottenere accesso illecito, attraverso tecniche come il brute force o il credential stuffing. Le minacce avanzate, come gli Advanced Persistent Threats (APT), sono spesso sponsorizzate da stati nazionali e possono persistere per lunghi periodi all’interno delle reti compromesse, causando danni significativi.

Strategie di prevenzione e difesa

La prevenzione dei security breach richiede quindi un approccio integrato e multilivello. Le aziende possono limitare il rischio di attacchi informatici adottando strategie e soluzioni di cybersecurity efficaci. La cybersecurity consiste nell’insieme di misure destinate a proteggere sistemi critici e dati sensibili da minacce digitali, utilizzando una combinazione di tecnologie avanzate, competenze umane e procedure operative ben definite. Molte organizzazioni implementano una strategia di gestione delle minacce per identificare e proteggere gli asset e le risorse più importanti. Da un punto di vista tecnico, è fondamentale mantenere aggiornati i sistemi, implementare soluzioni di crittografia robuste e segmentare adeguatamente la rete aziendale. Gli approcci organizzativi includono la formazione continua del personale, la definizione di policy di sicurezza stringenti e l’esecuzione di test di penetrazione regolari. Infine, l’adozione di framework di governance riconosciuti, come il NIST Cybersecurity Framework o la norma ISO/IEC 27001, può fornire una guida strutturata per mitigare i rischi.

Casi emblematici di security breach

L’attacco subito da Equifax nel 2017 è uno degli esempi più emblematici di security breach. Gli aggressori sfruttarono una vulnerabilità non patchata per accedere ai dati sensibili di oltre 147 milioni di persone, con conseguenze legali e di immagine devastanti per l’azienda. Un altro caso rilevante è l’operazione Stuxnet del 2010, che vide un sofisticato malware progettato per sabotare le centrifughe dell’impianto nucleare iraniano di Natanz. Questo esempio dimostra come un security breach possa compromettere infrastrutture critiche senza necessariamente sottrarre dati sensibili. Con riferimento invece al nostro paese, si ricorda l’attacco informatico alla Regione Lazio, che ha catturato l’attenzione dei media nazionali, diventando un caso di rilievo a livello nazionale. A mesi di distanza dall’incidente, molti dettagli rimangono poco chiari per l’opinione pubblica, probabilmente anche per ragioni strategiche.

Secondo le ricostruzioni più recenti, l’attacco sarebbe partito da un computer utilizzato in smart working da un dipendente di un fornitore esterno. Attraverso questo dispositivo compromesso, un malware si sarebbe diffuso all’interno della rete informatica della Regione Lazio, compromettendo tutti i sistemi accessibili, compresi quelli sanitari e le copie di backup ospitate su ambienti Cloud.

Si è trattato di un ransomware, un software malevolo progettato per cifrare i dati e richiedere un riscatto in cambio della chiave di decrittazione. L’infezione sarebbe avvenuta tramite una e-mail di phishing, tecnica che induce gli utenti a compiere azioni non sicure, come cliccare su link malevoli o scaricare allegati infetti.

Paradigmi di attribuzione della responsabilità nei security breach

Attribuire la responsabilità in caso di security breach è un processo complesso che coinvolge considerazioni legali, tecniche e organizzative. La determinazione di “chi è responsabile” dipende da vari fattori, tra cui la natura della violazione, il contesto normativo applicabile e la struttura interna dell’organizzazione coinvolta. L’ attribuzione degli attacchi informatici è infatti da sempre ritenuta una delle sfide cyber forensi più complesse da affrontare dopo incident di particolare impatto: le prove digitali per poter identificare i criminali informatici o il loro paese di origine vengono offuscate volontariamente dagli autori dell’attacco e rese di difficile interpretazione.

Tuttavia, va detto che la responsabilità può estendersi anche a singoli individui all’interno dell’organizzazione, come i Chief Information Security Officer (CISO), gli amministratori di sistema e i responsabili IT. Questi ruoli hanno il compito di implementare e supervisionare le politiche di sicurezza e possono essere ritenuti personalmente responsabili in caso di negligenza grave o condotta dolosa.

Responsabilità dei fornitori e terze parti

La crescente complessità delle supply chain digitali implica che spesso le risorse, le reti siano gestite anche da fornitori esterni e partner commerciali. In caso di violazione derivante da una vulnerabilità della supply chain, la responsabilità può essere condivisa tra l’azienda principale e i fornitori coinvolti, in base agli accordi contrattuali e ai livelli di servizio (SLA) stabiliti.

• Responsabilità contrattuale: quando il fornitore non rispetta i requisiti di sicurezza stabiliti nel contratto.
• Responsabilità extracontrattuale: quando la negligenza del fornitore causa danni ai dati o al prestigio dell’azienda principale.

Approccio basato sul rischio

Sempre più spesso, l’attribuzione della responsabilità segue un approccio basato sul rischio. Questo significa che le aziende devono dimostrare di aver effettuato una valutazione del rischio adeguata, identificando le principali minacce alla sicurezza e adottando controlli proporzionati per mitigare tali rischi. In mancanza di queste misure, la responsabilità può essere attribuita in misura maggiore, sia a livello aziendale che individuale.

In sintesi, la responsabilità nei security breach è distribuita su più livelli e coinvolge tutti gli attori della catena del valore digitale. La chiave per ridurre il rischio legale risiede nell’adozione di politiche di sicurezza solide, nella formazione continua e nella collaborazione attiva con partner e fornitori per garantire un elevato livello di protezione.

Metriche sanzionatorie nella non-Compliance

Le sanzioni per la non conformità ai regolamenti sulla sicurezza dei sistemi possono variare notevolmente in base alla giurisdizione e alla gravità della violazione. Il GDPR, ad esempio, prevede multe che possono raggiungere il 4% del fatturato globale annuo dell’azienda o fino a 20 milioni di euro, a seconda di quale importo sia maggiore, nel caso di un security breach che abbia comportato la violazione di dati sensibili (data breach).

Oltre alle sanzioni pecuniarie, le conseguenze di un security breach si riflettono su più livelli. Da un punto di vista economico, le aziende colpite possono essere chiamate ad affrontare costi elevati per la mitigazione dell’incidente, comprese indagini forensi, ripristino dei sistemi e multe legate alla violazione di normative come il GDPR. A livello reputazionale, la perdita di fiducia da parte dei clienti e degli stakeholder può compromettere la credibilità dell’azienda. Inoltre, le conseguenze operative possono includere l’interruzione dei servizi, la perdita di produttività e l’impatto negativo sulle operazioni aziendali.

La non compliance può anche portare a richieste di risarcimento danni da parte degli individui i cui dati personali o asset sono stati compromessi nell’ambito della violazione, aumentando ulteriormente i costi a carico dell’azienda coinvolta.

Protocolli di incident response e rimedi giuridici

Un’adeguata gestione degli attacchi di sicurezza è quindi fondamentale per mitigare le conseguenze di un breach e ridurre i rischi legali. L’Incident Response (IR) è l’attività di intervento rapido e strutturato dopo che si è verificato un attacco informatico che ha compromesso la sicurezza di un sistema informatico. Le organizzazioni possono anche adottare misure per garantire una risposta adeguata agli attacchi informatici in corso e ad altri eventi di sicurezza informatica. I protocolli di incident response generalmente seguono una serie di fasi strutturate:

1. Preparazione: Identificazione dei rischi, formazione del personale e implementazione di piani di risposta. Sviluppo e implementazione di politiche, procedure e strumenti per la gestione degli incidenti.
2. Rilevamento e analisi: Identificazione tempestiva dell’incidente, valutazione del perimetro della violazione e raccolta di prove. Questa fase include il monitoraggio continuo dei sistemi per individuare attività sospette e la definizione dei criteri per la classificazione degli incidenti.
3. Contenimento e mitigazione: Limitazione dell’impatto del breach e protezione di dati e informazioni. Il contenimento può essere di breve termine (per fermare immediatamente l’attacco) o di lungo termine (per stabilizzare i sistemi).
4. Ripristino e recupero: Ripristino delle normali operazioni aziendali e verifica dell’efficacia delle misure adottate. Include il monitoraggio continuo per garantire che il sistema sia stato completamente ripulito e che non ci siano ulteriori compromissioni.
5. Revisione post-incidente: Analisi delle cause, aggiornamento delle policy di sicurezza e miglioramento continuo. Questa fase include la revisione delle procedure di risposta e l’aggiornamento dei piani di sicurezza.

Dal punto di vista giuridico, la tempestività nella notifica del breach alle autorità competenti e agli individui interessati può ridurre le conseguenze sanzionatorie e legali. In particolare, il d.l. 105/2019, convertito con modifiche dalla l. 133/2019, è stato approvato in risposta a una situazione di necessità e urgenza dovuta ad attacchi informatici che hanno colpito le reti di diversi Paesi europei. Questo decreto ha introdotto il cosiddetto “perimetro di sicurezza nazionale cibernetica” e ha stabilito l’obbligo, per enti pubblici e privati di rilevanza strategica per la sicurezza nazionale, di notificare eventuali “incidenti con impatto su reti, sistemi informativi e servizi informatici” (art. 1, commi 1 e 3, d.l. 105/2019).

La procedura di segnalazione prevede che gli enti coinvolti informino il Computer Security Incident Response Team (CSIRT), istituito in Italia presso l’Agenzia per la cybersicurezza nazionale (ACN). Successivamente, il CSIRT trasmette tempestivamente la segnalazione al Dipartimento delle informazioni per la sicurezza, che la inoltra all’organo del Ministero dell’interno responsabile della sicurezza delle telecomunicazioni e alla Presidenza del Consiglio dei ministri, se il soggetto segnalante è pubblico o rientra nell’art. 29 del d.lgs. 82/2005, oppure al Ministero dello sviluppo economico se il segnalante è privato.

Secondo quanto previsto dal decreto, la mancata comunicazione degli incidenti, salvo che non costituisca reato, comporta una sanzione amministrativa pecuniaria che varia da 250.000 a 1.500.000 euro (art. 1, comma 9, d.l. 105/2019).

Infine, nel gennaio 2024, il Consiglio dei ministri ha definito uno schema di disegno di legge intitolato “disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale“, successivamente presentato ufficialmente alla Camera il 16 febbraio 2024.

Il testo si articola in due parti principali: il Capo I introduce norme per potenziare la cybersicurezza e la resilienza delle pubbliche amministrazioni, oltre a regolamentare i contratti pubblici relativi a beni e servizi informatici collegati a interessi strategici nazionali. Il Capo II, invece, mira a prevenire e contrastare i reati informatici, aumentando le pene e le sanzioni previste dal d.lgs. 231/2001 per i reati legati al settore, oltre a definire il coordinamento delle azioni in caso di attacchi informatici.

In merito agli obblighi di segnalazione, l’art. 1 del DDL stabilisce che le pubbliche amministrazioni, le regioni, le province autonome, i comuni con oltre 100.000 abitanti o capoluogo di regione, le società di trasporto pubblico urbano con un bacino di utenza di almeno 100.000 abitanti, le aziende sanitarie locali e le società in house debbano notificare eventuali incidenti informatici che colpiscano reti, sistemi informativi e servizi digitali. Questa norma estende gli obblighi di segnalazione già previsti dal d.l. 105/2019 per gli enti pubblici e privati operanti in settori considerati “essenziali” per lo Stato.

La procedura di segnalazione prevede due fasi: una comunicazione iniziale entro 24 ore dalla scoperta dell’evento critico e una seconda notifica entro 72 ore. Entrambe le comunicazioni devono essere inviate all’Agenzia per la cybersicurezza nazionale.

In caso di mancata osservanza degli obblighi di notifica, sono previste sanzioni amministrative comprese tra 25.000 e 125.000 euro, ispezioni da parte dell’Agenzia e responsabilità disciplinare e contabile per i dipendenti coinvolti.

Digital Forensics nei procedimenti legali

La digital forensics (DF) è la disciplina che si occupa della raccolta, conservazione, analisi e presentazione delle evidenze digitali in modo forense. Questa gioca un ruolo cruciale nella fase di investigazione di un security breach. La digital forensics consente quindi di identificare i responsabili e valutare l’entità della violazione.

L’analisi forense può includere:

• Raccolta delle prove: acquisizione di dati e informazioni senza alterazioni, garantendo la validità giuridica delle informazioni. Questo processo è condotto seguendo rigorosi standard forensi per garantire l’integrità delle evidenze.
• Analisi tecnica: identificazione delle vulnerabilità sfruttate, dei percorsi di attacco e delle modalità di estrazione dei dati. Questo può includere l’analisi dei log di sistema, dei file e delle comunicazioni di rete.
• Conservazione delle Prove: archiviazione sicura delle prove digitali per preservarne l’integrità e garantire che siano ammissibili in tribunale.
• Documentazione: registrazione accurata delle attività svolte per garantire la trasparenza nei procedimenti legali. Questi rapporti possono essere utilizzati in contesti legali e per la comunicazione interna.

La validità delle prove digitali è spesso messa in discussione nei tribunali, rendendo essenziale l’aderenza a standard riconosciuti come il NIST SP 800-86 negli Stati Uniti o la ISO/IEC 27037 a livello internazionale.

Conclusioni e prospettive future

Nel contesto odierno, caratterizzato da un’elevata dipendenza tecnologica e dalla crescente complessità delle infrastrutture informatiche, il rischio di security breach è sempre in costante aumento. Le aziende devono quindi adottare un approccio proattivo alla sicurezza, combinando soluzioni tecnologiche avanzate con una cultura aziendale attenta alla prevenzione e alla formazione. La gestione efficace di un security breach non si limita alla risposta immediata, ma richiede un’analisi post-incidente e un miglioramento continuo delle strategie di difesa.

https://www.ictsecuritymagazine.com/articoli/security-breach-conseguenze-e-profili-di-responsabilita/

La guerra Russia-Ucraina ha stravolto la sicurezza globale in innumerevoli modi. Mentre l’attenzione mondiale si è concentrata sugli sviluppi del campo di battaglia e sulle crisi umanitarie, una guerra parallela ha infuriato nel cyberspazio. Le operazioni cyber della Russia contro l’Ucraina rappresentano una delle campagne informatiche più significative e sostenute della storia, con implicazioni che si estendono ben oltre i confini ucraini.

L’evoluzione delle campagne cyber russe

Molto prima che i carri armati attraversassero il confine nel febbraio 2022, la Russia aveva utilizzato l’Ucraina come banco di prova per le sue capacità cyber. Questo campo di battaglia digitale ha rivelato come la guerra moderna si estenda ormai oltre i domini tradizionali fino al cyberspazio.

Dal 2014 almeno, dopo la rivoluzione di Euromaidan e l’annessione della Crimea da parte della Russia, l’Ucraina ha subito una raffica di sofisticati attacchi informatici. Non si trattava di azioni casuali od opportunistiche, ma di componenti coordinate della più ampia strategia di guerra ibrida della Russia.

“L’Ucraina è essenzialmente diventata un laboratorio per le attività russe”, nota Alina Polyakova, sottolineando come la Russia abbia utilizzato il territorio ucraino per testare varie tattiche di guerra ibrida, incluse quelle cyber, prima di potenzialmente impiegarle contro altri obiettivi occidentali.

Dalle reti elettriche alla guerra dell’informazione

La campagna cyber russa contro l’Ucraina ha preso di mira praticamente ogni settore dell’infrastruttura critica. Alcuni degli attacchi più allarmanti si sono concentrati sulle reti elettriche: nel 2015, l’attacco BlackEnergy ha causato un’interruzione di corrente che ha colpito 225.000 clienti nella regione ucraina di Ivano-Frankivsk; nel 2016, il malware Industroyer/CrashOverride ha provocato un’interruzione minore a Kiev; nel 2022, una versione aggiornata di Industroyer ha preso di mira sottostazioni elettriche ad alta tensione.

Gli attacchi alla rete elettrica hanno dimostrato la capacità della Russia di colmare il divario cyber-fisico, utilizzando codice maligno per causare interruzioni nel mondo reale. Questo rappresenta un’evoluzione significativa nelle capacità di guerra cibernetica.

Ma le operazioni cyber della Russia si estendono ben oltre le infrastrutture critiche. Includono vasti sforzi di raccolta di intelligence e sofisticate campagne di guerra dell’informazione progettate per plasmare le narrative e minare il morale ucraino. Queste operazioni seguono quella che gli esperti chiamano la tattica delle “4D” dell’informazione russa: screditare, distorcere, distrarre e demoralizzare.

La risposta occidentale e l’importanza della difesa cyber

Ciò che ha sorpreso molti osservatori è stata l’efficacia della difesa cyber ucraina. Contrariamente alle aspettative iniziali, l’Ucraina è riuscita a mitigare molti degli attacchi più distruttivi grazie all’assistenza senza precedenti fornita dalle aziende tecnologiche occidentali e dalle agenzie governative.

Microsoft, Amazon, Google e altre aziende hanno fornito supporto cruciale, aiutando a migrare dati governativi sensibili nel cloud, fornendo intelligence sulle minacce in tempo reale e rafforzando le difese delle infrastrutture critiche ucraine. Questa collaborazione pubblico-privato rappresenta un nuovo modello di difesa collettiva nel cyberspazio che potrebbe avere profonde implicazioni per futuri conflitti.

L’intensificazione degli attacchi e la strategia di guerra ibrida

Nel 2024 e 2025, le operazioni cyber russe hanno continuato a svolgere un ruolo cruciale nella strategia contro l’Ucraina. Gruppi come APT44 (Sandworm), APT28 (Fancy Bear) e Gamaredon, spesso operanti sotto la direzione delle agenzie di intelligence russe, hanno intensificato gli attacchi contro infrastrutture critiche, informazioni sensibili e sistemi governativi ucraini.

Tra gli esempi recenti di attacchi significativi figura AcidPour, considerato il successore del wiper AcidRain utilizzato contro il provider di telecomunicazioni Viasat nel febbraio 2022. Inoltre, a dicembre 2023, un attacco devastante ha colpito l’operatore mobile Kyivstar, interrompendo i servizi per milioni di clienti. Secondo Illia Vitiuk, capo del servizio di intelligence SBU ucraino, il gruppo Sandworm è riuscito a piazzare malware distruttivo “attraverso un insider dell’azienda”, distruggendo “il nucleo della rete”.

Gli attacchi russi si distinguono per la loro scala, coordinamento e sofisticazione tecnica. Sostenuti dalle risorse statali, queste operazioni spesso sfruttano vulnerabilità zero-day, malware personalizzati e campagne di spionaggio a lungo termine. A differenza della natura decentralizzata degli attacchi ucraini, le operazioni russe sono controllate centralmente, consentendo attacchi altamente organizzati e precisi su obiettivi critici.

Il ruolo di Starlink e le incertezze future con Trump

Un elemento cruciale nella resilienza digitale ucraina è stato il sistema satellitare Starlink di Elon Musk. Questa tecnologia ha fornito connettività Internet vitale quando le infrastrutture terrestri erano compromesse, permettendo alle forze ucraine di mantenere le comunicazioni e coordinare le operazioni anche nelle aree più remote o colpite. Il capo della cybersicurezza ucraina ha definito Starlink “la forma di assistenza digitale più utile” ricevuta durante la guerra.

Tuttavia, con l’elezione di Donald Trump alla presidenza degli Stati Uniti, emergono nuove incertezze. Trump ha espresso in passato posizioni scettiche sul sostegno all’Ucraina e ha mantenuto relazioni cordiali con il presidente russo Vladimir Putin. Questa situazione politica, unita al rapporto altalenante tra Musk e le autorità ucraine su questioni di finanziamento e utilizzo dei terminali Starlink, potrebbe complicare ulteriormente un quadro già delicato. La continua disponibilità di questa tecnologia critica potrebbe dipendere tanto dalle decisioni aziendali di Musk quanto dall’orientamento della nuova amministrazione americana verso il conflitto, creando nuove vulnerabilità potenziali nella strategia di difesa cyber ucraina.

L’evoluzione delle tattiche di attacco

L’arsenale di attacco russo è in continua evoluzione. Oltre agli attacchi diretti alle infrastrutture critiche, la Russia ha intensificato le operazioni di esfiltrazione dati e spionaggio, furti di informazioni sensibili da agenzie governative ucraine, appaltatori della difesa ed entità allineate con la NATO. Questi dati vengono utilizzati per intelligence militare, propaganda e operazioni di influenza cyber.

Le campagne di ransomware mascherate da hacktivismo sono diventate sempre più comuni, con attacchi che, sebbene presentino richieste di riscatto, sono spesso motivati politicamente e mirano a causare caos operativo. Inoltre, massive campagne DDoS vengono frequentemente lanciate contro siti web governativi ucraini, banche e infrastrutture critiche per interrompere comunicazioni e servizi essenziali.

L’espansione degli attacchi verso l’Occidente

La guerra cyber si è estesa ben oltre i confini ucraini, con gruppi hacker filo-russi che prendono di mira paesi occidentali che sostengono Kyiv. Un esempio significativo è avvenuto nel febbraio 2025, quando il gruppo NoName057(16) ha lanciato una serie di attacchi DDoS contro istituzioni italiane in risposta alle dichiarazioni del Presidente Mattarella, che aveva paragonato l’offensiva russa in Ucraina alle “guerre di conquista” del Terzo Reich.

Gli attacchi hanno colpito ministeri, forze armate, aeroporti, porti, istituti finanziari e industrie della difesa italiane. Sebbene questi attacchi si siano limitati a bloccare temporaneamente l’accesso ai siti, dimostrano l’evoluzione dell’hacktivismo in una forma di guerra ibrida più organizzata e strategica, dove i gruppi come NoName057(16) e Killnet operano con un coordinamento sempre maggiore.

La Russia ha direzionato la sua strategia di guerra ibrida verso gli stati occidentali che sostengono l’Ucraina. Negli ultimi mesi, un’ondata di sabotaggi e attacchi cyber ha colpito diversi paesi europei. Secondo Nils Andreas Stensønes, capo del servizio di intelligence estero norvegese, il Cremlino ha intensificato gli sforzi per sabotare le infrastrutture di petrolio e gas in Europa.

Funzionari occidentali sospettano che Mosca sia dietro attacchi incendiari in Polonia, Regno Unito, Repubblica Ceca, Germania, Lituania e Lettonia. In luglio, una bomba incendiaria è scoppiata in un container di trasporto aereo DHL all’aeroporto di Lipsia in Germania, e un ordigno simile è esploso in un magazzino vicino a Birmingham. Secondo le agenzie di intelligence, questi potevano essere test per attacchi più ampi.

In ottobre, la Germania ha dichiarato che due cavi di telecomunicazioni sottomarini nel Mar Baltico sono stati tagliati a seguito di un sabotaggio, mentre una nave spia russa, la Yantar, è stata scortata fuori dal Mare d’Irlanda dalla marina irlandese dopo essere entrata in acque controllate dall’Irlanda e aver pattugliato un’area contenente infrastrutture critiche.

Limiti delle operazioni cyber

Nonostante l’intensità degli attacchi informatici, l’esperienza ucraina ha mostrato che le operazioni cyber hanno limiti significativi. Come evidenziato dai ricercatori, le operazioni cyber sono vincolate da trade-off tra velocità, intensità e controllo degli effetti. Gli attacchi più devastanti, come quelli contro l’operatore telefonico UKRTelecom nel marzo 2022 e Kyivstar nel dicembre 2023, sono stati resi possibili grazie all’accesso ottenuto tramite dipendenti situati in territori occupati.

Questo sottolinea l’importanza persistente dei metodi tradizionali di sovversione – utilizzando insider nelle organizzazioni per sabotare sistemi – rispetto alle pure operazioni cyber. In effetti, la sovversione tradizionale ha prodotto guadagni strategici molto più tangibili e significativi in questo conflitto rispetto alle operazioni cyber, come dimostra l’annessione della Crimea nel 2014 o la cattura non violenta della strategicamente importante centrale nucleare di Chernobyl nelle prime ore dell’invasione del 2022.

La risposta europea e le sfide future

“Siamo semplicemente troppo educati“, ha dichiarato la prima ministra danese Mette Frederiksen a margine di un vertice NATO. “Ci attaccano ogni giorno ora“. Questa passività europea viene attribuita in parte ai timori nelle capitali occidentali di essere trascinati in un conflitto per il quale non sono preparati.

In risposta a queste minacce ibride, l’UE ha istituito un nuovo quadro che consente di sanzionare individui ed entità coinvolti nella guerra ibrida russa, mentre la NATO ha creato una Cella di Coordinamento dell’Infrastruttura Sottomarina e una Task Force UE-NATO sulla Resilienza delle Infrastrutture Critiche.

Come ha sottolineato Gabrielius Landsbergis, ministro degli Esteri lituano uscente: “Perché la chiamiamo guerra ibrida? Perché fondamentalmente quando la chiami ibrida non devi fare nulla. Se la chiami terrorismo, allora implica una reazione“:

La guerra in Ucraina ha indubbiamente definito un nuovo capitolo nella storia della guerra cibernetica, dimostrando che il cyberspazio è ormai un campo di battaglia essenziale in cui si combattono non solo le guerre di oggi, ma anche quelle del futuro. La sua lezione principale è che, sebbene le operazioni cyber pure abbiano limiti, quando vengono integrate con metodi tradizionali di sovversione e sabotaggio fisico, possono rappresentare una formidabile arma nella cassetta degli attrezzi della guerra moderna.

https://www.ictsecuritymagazine.com/articoli/campagne-cyber-russe-ucraina/