La Foreign Information Manipulation and Interference (FIMI) rappresenta una delle evoluzioni più sofisticate della guerra ibrida contemporanea. Questo articolo analizza l’architettura operativa delle campagne FIMI, dalle infrastrutture cyber all’ingegneria sociale, fino ai media proxy, attraverso casi di studio attribuiti a Russia, Cina e Stati Uniti. Si esaminano inoltre le contromisure europee, la FIMI Exposure Matrix introdotta dal SEAE nel 2025, il Rapid Alert System, i limiti del fact-checking reattivo e il paradosso della difesa democratica, proponendo la resilienza sistemica come unico approccio sostenibile contro la manipolazione informativa coordinata.
FIMI: una minaccia sotto soglia
La Foreign Information Manipulation and Interference (FIMI) non è un sinonimo sofisticato di disinformazione: è un insieme di comportamenti manipolativi, intenzionali e coordinati che sfrutta l’ecosistema digitale per indebolire la fiducia nelle istituzioni, i processi decisionali e la coesione sociale. La sua peculiarità risiede nell’intenzionalità dell’azione: non si tratta di errori, opinioni divergenti o propaganda tradizionale, ma di operazioni deliberate condotte da attori statali o para-statali per destabilizzare target specifici.
La dimensione “sotto soglia” della FIMI è strategicamente rilevante. Non attivando le clausole di difesa collettiva previste da trattati come l’articolo 5 della NATO, consente agli attori ostili di condurre operazioni aggressive mantenendo una plausible deniability. Questo spazio grigio tra pace e guerra rappresenta una delle sfide più critiche per i sistemi di sicurezza occidentali, tradizionalmente orientati verso minacce cinetiche chiaramente identificabili.
La portata globale del fenomeno è confermata dal 3° Report EEAS sulle minacce FIMI (marzo 2025), che ha analizzato 505 incidenti FIMI nel periodo novembre 2023-novembre 2024, identificando circa 38.000 canali unici coinvolti su 25 piattaforme diverse e oltre 68.000 contenuti manipolativi (observables). Le operazioni hanno colpito 90 Paesi e 322 organizzazioni, confermando la FIMI come minaccia globale di natura sistemica.
La natura ibrida della minaccia FIMI: architettura operativa e dinamiche tecniche
Ciò che distingue la FIMI dalle forme classiche di propaganda, è la capacità di operare simultaneamente su molteplici livelli, creando quello che gli analisti di sicurezza definiscono “effetto moltiplicatore di forza” attraverso la convergenza di domini tradizionalmente separati. Le campagne FIMI rappresentano un’evoluzione qualitativa rispetto alla propaganda novecentesca, poiché integrano:
- Cyber operations: account falsi, bot, amplificazione artificiale;
- Ingegneria sociale: sfruttamento di divisioni preesistenti, polarizzazione;
- Strumenti di influenza tradizionale: finanziamento di media proxy, infiltrazione di comunità online.
La stratificazione operativa segue tipicamente un modello a “imbuto”. Nella fase iniziale, infrastrutture tecniche (botnet, sock puppets, troll farms) generano volume e visibilità artificiale per contenuti specifici. Strumenti come generatori di testo basati su modelli linguistici di grandi dimensioni (LLM) permettono oggi di produrre migliaia di commenti apparentemente autentici e contestualmente rilevanti, superando le tradizionali tecniche di rilevamento automatico dello spam basate su riconoscimento di pattern.
Nella fase intermedia, questi contenuti vengono amplificati attraverso reti di useful idiots, utenti autentici ma inconsapevoli che condividono materiale manipolato perché allineato con le loro convinzioni preesistenti.
Nella fase di consolidamento, media proxy e influencer remunerati conferiscono legittimità mainstream alle narrative, completando il ciclo di laundering informativo.
La dinamica operativa della FIMI presenta una similitudine strutturale con il funnel del marketing digitale – entrambe si sviluppano come processi graduali dall’esposizione massiva al consolidamento dell’obiettivo, ma con differenze sostanziali: la FIMI mira a influenzare dinamiche cognitive collettive e a produrre effetti sistemici di lungo periodo (polarizzazione, sfiducia istituzionale, distorsione del dibattito pubblico), fondandosi sull’occultamento dell’intenzionalità e sull’asimmetria informativa anziché sulla trasparenza competitiva del marketing.
Caso di studio 1: FIMI attribuita agli Stati Uniti – Bolivia 2019
Secondo alcune analisi, va precisato che molte delle fonti disponibili non sono indipendenti e includono report di parte, negli ultimi mesi prima delle elezioni presidenziali boliviane dell’ottobre 2019, entità finanziate dagli Stati Uniti come la National Endowment for Democracy (NED) e USAID avrebbero supportato reti di giornalisti definiti “indipendenti” e attivisti locali per amplificare narrative su presunte irregolarità elettorali attribuite a Evo Morales.
- Fase iniziale: Finanziamento, le cifre circolate (oltre 1,5 milioni di dollari via NED) non sono confermate da fonti indipendenti, destinato ad account falsi su Twitter e Facebook per generare volume su presunte irregolarità elettorali e corruzione, con l’impiego di strumenti di intelligenza artificiale per la produzione di commenti dall’apparenza autentica.
- Fase intermedia: Utenti reali tra oppositori e diaspora condividevano contenuti polarizzanti che facevano leva su fratture etniche e sociali preesistenti, culminando in proteste post-elezioni.
- Fase consolidamento: Media proxy statunitensi (tra cui Voice of America) e influencer locali avrebbero contribuito a legittimare la narrativa, in un contesto che portò alle dimissioni di Morales e al governo ad interim di Áñez.
Questo caso, oggetto di un dibattito accademico tuttora aperto, illustra come strumenti cyber, tecniche di ingegneria sociale e media proxy possano convergere in un’operazione di laundering informativo con potenziali effetti sulla sovranità di uno Stato.
La questione della frode elettorale rimane accademicamente controversa: lo studio del MIT Election Data and Science Lab/CEPR e un’analisi pubblicata nel febbraio 2020 sul Washington Post (University of Pennsylvania e Tulane University) hanno concluso che le accuse dell’OAS erano prive di fondamento statistico, mentre un’analisi peer-reviewed su World Development ha individuato evidenze di manipolazione del voto pari al 2,51% dei suffragi validi. Il contesto di presunta ingerenza statunitense è ulteriormente documentato da cablogrammi diplomatici resi pubblici da WikiLeaks e da inchieste di giornalismo investigativo la cui indipendenza editoriale è oggetto di dibattito.
Indipendentemente dall’esito del dibattito sulla frode, resta documentato il ruolo del NED, che nel 2019 ha investito quasi un milione di dollari in programmi boliviani legati al processo elettorale, e l’esistenza di reti di bot anti-Morales su Twitter, successivamente identificate e rimosse dalla piattaforma. Nel settembre 2020, anche Facebook chiuse decine di account collegati a CLS Strategies, una società di comunicazione di Washington ingaggiata dal governo ad interim di Áñez, per violazione delle policy sull’interferenza straniera. La complessità di questo caso lo rende paradigmatico della zona grigia in cui opera la FIMI: la coesistenza di interferenze documentate, narrazioni contrapposte e studi accademici in conflitto rende l’attribuzione definitiva estremamente problematica.
Caso di studio 2: FIMI attribuito alla Russia – “Doppelganger” 2024
La campagna “Doppelganger”, attribuita alla Russia tramite le società Struktura e Social Design Agency (SDA), entrambe finanziate direttamente dallo Stato russo, e sanzionata dall’UE, rappresenta uno dei casi più documentati di FIMI su scala europea.
Fase iniziale: infrastrutture tecniche
Botnet, sock puppets e troll farms – supportate da una rete di 228 domini e 25.000 account di Coordinated Inauthentic Behaviour (CIB) operanti in nove lingue (inglese, tedesco, francese, spagnolo, turco, polacco, arabo, ebraico e italiano), che replicavano l’aspetto grafico di testate europee come Reuters e BBC attraverso tecniche di typosquatting con certificati SSL validi, hanno generato volume artificiale su piattaforme come X e Facebook. Contenuti prodotti con strumenti di intelligenza artificiale generativa hanno alimentato narrative anti-Ucraina, anti-NATO e filorusse, aggirando i filtri antispam e raggiungendo milioni di visualizzazioni nella sola fase iniziale.
Fase intermedia: amplificazione organica
Reti di useful idiots, utenti reali influenzati da divisioni preesistenti (ad esempio movimenti anti-vaccino, euroscettici), hanno condiviso i contenuti manipolati, credendoli autentici. In contesti come le elezioni francesi del 2024, ciò ha contribuito a polarizzare il dibattito su immigrazione e guerra in Ucraina, anche attraverso l’organizzazione di eventi fittizi progettati per ottenere viralità.
Fase di consolidamento: laundering informativo
Media proxy (tra cui RT e Sputnik) e influencer remunerati hanno legittimato le narrative nel dibattito pubblico mainstream, infiltrando comunità online e testate locali. L’UE ha rilevato oltre 500 incidenti riconducibili a questo schema solo nel 2024, con l’operazione Doppelganger che si è evoluta in “False Façade” un’ulteriore strategia per occultare l’origine russa dei contenuti.
L’operazione Doppelganger ha dimostrato una notevole resilienza operativa: quando i provider di hosting o le piattaforme social hanno rimosso i suoi asset, la campagna ha risposto ri-registrando i siti sotto diversi Top Level Domain (TLD), migrando verso provider differenti e impiegando account CIB usa-e-getta per l’amplificazione. Doppelganger opera come un ecosistema chiuso e autosufficiente, senza interazioni dirette con i canali ufficiali di Stato o con i media statali russi, una struttura ermetica che ne rafforza l’autonomia e la deniability all’interno del più ampio panorama FIMI. Nel dicembre 2024, l’UE ha imposto le prime sanzioni in assoluto specificamente mirate a comportamenti FIMI, colpendo entità e individui associati alla campagna.
Caso di studio 3: FIMI attribuita alla Cina – Spamouflage/Dragonbridge e influence-for-hire
L’articolo non può limitarsi all’asse USA-Russia senza considerare il terzo attore FIMI identificato dal SEAE: la Cina. Il 3° Report EEAS dedica un’analisi approfondita alle operazioni FIMI cinesi, evidenziando un modus operandi strutturalmente diverso da quello russo.
L’operazione nota come Spamouflage (denominata anche Dragonbridge da Mandiant/Google e Storm 1376 da Microsoft) è attiva dal 2017 ed è considerata da Meta la più vasta operazione di influenza cross-platform mai identificata. Nel solo secondo trimestre del 2023, Meta ha rimosso circa 7.700 account Facebook, 954 pagine e 15 gruppi associati alla rete, Google ha disabilitato oltre 100.000 account nel corso degli anni. L’operazione, riconducibile al Ministero della Pubblica Sicurezza cinese, ha preso di mira le elezioni statunitensi del 2022 e 2024, quelle taiwanesi del 2024 e ha condotto campagne contro aziende occidentali del settore delle terre rare strategiche per la Cina.
A differenza dell’approccio decentralizzato russo, l’infrastruttura FIMI cinese si caratterizza per un’elevata centralizzazione: i canali vengono attivati simultaneamente sullo stesso tema e target, garantendo una voce globale unificata. Il SEAE ha inoltre identificato un modello di influence-for-hire in cui media di Stato cinesi (Global Times, CGTN, Xinhua) si avvalgono di società private di pubbliche relazioni – come Shanghai Haixun Technology e Shenzhen Haimaiyunxiang Media – per gestire reti di siti web inautentici che si camuffano da testate giornalistiche locali. Le campagne HaiEnergy (almeno 316 siti fabbricati secondo le indagini EEAS, rispetto ai 72 inizialmente identificati da Mandiant nel 2022) e Paperwall (almeno 123 siti inautentici in 30 Paesi, identificati da Citizen Lab nel 2024) esemplificano questo approccio.
Un elemento particolarmente preoccupante della FIMI cinese è la soppressione dell’informazione, una dimensione spesso sottovalutata della repressione transnazionale. Questa può colpire aziende, università, società civile e soprattutto individui della diaspora e le loro famiglie, attraverso misure che spaziano da incentivi e deterrenti economici a intimidazioni online e fisiche, fino alla warfare giuridica e alle detenzioni.
Sebbene l’impatto delle operazioni cinesi rimanga ad oggi significativamente inferiore a quello russo in termini di engagement organico, la quasi totalità dei contenuti Dragonbridge non ha mai raggiunto un pubblico reale, con il 58% dei canali YouTube disabilitati nel 2022 che aveva zero iscritti, la persistenza, la scala e la progressiva sofisticazione delle tattiche rendono questa minaccia strategicamente rilevante nel medio-lungo periodo.
Tecniche di cyber operations: l’infrastruttura invisibile
L’elemento cyber delle operazioni FIMI è tecnicamente sofisticato quanto discreto. Gli account falsi utilizzano tecniche di OPSEC (Operational Security) avanzate: profili costruiti progressivamente attraverso mesi di attività apparentemente organica, pubblicazione di foto personali generate con GAN (Generative Adversarial Networks), interazioni casuali, costruzione di reti sociali credibili, utilizzo di servizi VPN e residential proxy per mascherare l’origine geografica, e tecniche di mimetismo comportamentale (behavioral mimicry) che replicano schemi di utilizzo umani: orari di attività, frequenza di pubblicazione, tipologia di interazioni.
I bot di nuova generazione non sono più semplici script che replicavano contenuti identici. L’intelligenza artificiale generativa consente la creazione di cognitive bots che adattano i messaggi al contesto, rispondono in modo apparentemente coerente alle interazioni e modulano il proprio comportamento per eludere gli algoritmi di rilevamento.
Un esempio documentato è la campagna “Secondary Infektion”, un’operazione di origine russa attiva dal 2014 al 2020 e ricostruita in modo sistematico dal laboratorio di ricerca Graphika in un report pubblicato nel giugno 2020. L’indagine ha identificato oltre 2.500 contenuti disseminati su più di 300 piattaforme in sette lingue, con livelli di personalizzazione locale estremamente elevati. L’operazione era stata parzialmente scoperta da Facebook nel maggio 2019, quando la piattaforma rimosse un primo cluster di account attribuiti ad attori basati in Russia.
Deepfake e intelligenza artificiale generativa: la nuova frontiera della FIMI
L’evoluzione più dirompente delle capacità FIMI riguarda l’uso dell’intelligenza artificiale generativa per la produzione di deepfake audio e video. Il SEAE ha registrato nel 2024 circa 41 incidenti in cui l’IA è stata impiegata per manipolare informazioni, con due applicazioni principali: la creazione di contenuti inautentici, inclusi deepfake audio e video, e la disseminazione automatizzata su larga scala attraverso reti di bot.
Il caso paradigmatico è quello delle elezioni parlamentari slovacche del settembre 2023. Due giorni prima del voto, durante il periodo di silenzio elettorale previsto dalla legislazione slovacca – una norma concepita per l’era dei media tradizionali – un clip audio deepfake è stato diffuso sui social network. La registrazione simulava una conversazione tra Michal Šimečka, leader del partito Progressive Slovakia, e la giornalista Monika Tódová di Denník N, in cui i due apparivano discutere di brogli elettorali e dell’acquisto di voti dalla minoranza Rom. Entrambi hanno immediatamente smentito l’autenticità del contenuto, ma il clip era già diventato virale. Il silenzio elettorale ha impedito ai media di correggere la notizia in tempo utile, amplificando l’effetto della manipolazione.
Secondo le indagini dell’Investigative Center of Jan Kuciak (ICJK), il deepfake è stato inizialmente diffuso attraverso Telegram da un account riconducibile a Štefan Harabin, ex ministro della giustizia noto per posizioni filorusse, e la sua pubblicazione ha coinciso con un comunicato stampa dell’SVR, il servizio di intelligence estera russo, che accusava gli Stati Uniti di voler manipolare le elezioni slovacche. Sebbene l’attribuzione definitiva rimanga problematica, la convergenza temporale tra l’operazione di deepfake e la messaging russa suggerisce un coordinamento che è stato definito “caso-test” per l’interferenza elettorale basata sull’IA in Europa.
Anche durante le elezioni presidenziali moldave dell’ottobre 2024, il SEAE ha documentato l’uso di deepfake audio che simulavano la voce della Presidente Maia Sandu, oltre a documenti falsificati e chatbot su Telegram che offrivano pagamenti per la distribuzione di contenuti anti-UE, un modello operativo che integra IA generativa, incentivi finanziari e amplificazione automatizzata in un’unica catena di attacco.
La convergenza FIMI-cyber: dall’information warfare all’attacco ibrido integrato
Un aspetto cruciale per i professionisti della cybersecurity è la convergenza sistematica tra operazioni FIMI e attacchi cyber in senso stretto. Nel 2022, ENISA e il SEAE hanno pubblicato congiuntamente il primo report che analizza questa intersezione – Foreign Information Manipulation and Interference (FIMI) and Cybersecurity, Threat Landscape – applicando simultaneamente il framework MITRE ATT&CK per il dominio cyber e il framework DISARM per il dominio informativo agli stessi eventi.
Le conclusioni sono significative: gli attacchi cyber si concentrano nelle fasi iniziali delle operazioni FIMI, tipicamente nelle tattiche di Resource Development e Initial Access del MITRE ATT&CK, suggerendo che il rilevamento di specifiche TTP cyber possa fungere da indicatore precoce di un’operazione FIMI in preparazione. Inoltre, gli eventi per i quali è stata possibile un’attribuzione affidabile sono quelli che avevano beneficiato di un’analisi di cybersecurity, un dato che evidenzia come le competenze forensi digitali siano essenziali non solo per il dominio cyber ma anche per la risposta alla FIMI.
Il caso della Moldova rappresenta il paradigma più completo di questa convergenza. Durante le elezioni presidenziali dell’ottobre 2024, le reti FIMI russe hanno condotto simultaneamente operazioni di manipolazione informativa – deepfake della Presidente Sandu, chatbot su Telegram per l’acquisto di contenuti anti-UE, documenti falsificati – e attacchi cyber contro l’infrastruttura elettorale, compromettendo i server email del parlamento moldavo. Lo schema si è ripetuto in forma ancora più aggressiva durante le elezioni parlamentari del 28 settembre 2025: la Commissione Elettorale Centrale ha subito un attacco DDoS sostenuto per 12 ore, con oltre 898 milioni di richieste malevole e picchi di 324.333 richieste al secondo, mitigato da Cloudflare nell’ambito del progetto Athenian.
Contemporaneamente, attacchi DDoS coordinati hanno colpito un portale di partecipazione civica, servizi parlamentari legati alla democrazia e testate giornalistiche indipendenti, configurando un’offensiva integrata contro l’intero ecosistema elettorale. In parallelo, false minacce di bomba sono state segnalate ai seggi elettorali della diaspora moldava in Belgio, Italia, Romania, Spagna e Stati Uniti. Si tratta di un modello operativo che fonde attacchi volumetrici nel dominio cyber, operazioni FIMI nel dominio informativo e disruption fisica in un’unica campagna ibrida, esattamente la convergenza che il rapporto congiunto ENISA-EEAS aveva teorizzato.
Per i CISO e i team di incident response, l’implicazione operativa è diretta: un’anomalia nel dominio cyber – un picco di attività DDoS, una compromissione di account istituzionali, un’ondata di registrazioni di domini typosquatting – può essere il segnale anticipatore di un’operazione FIMI imminente, e viceversa. L’intelligence sulle minacce non può più essere compartimentalizzata: il SOC che rileva un attacco tecnico e l’analista OSINT che monitora narrative manipolative stanno osservando due facce della stessa operazione.
L’amplificazione artificiale sfrutta algoritmi di raccomandazione sempre più opachi. Le piattaforme social utilizzano sistemi di ranking basati su metriche di engagement: contenuti che generano reazioni emotive intense (rabbia, paura, indignazione) ricevono maggiore distribuzione organica. Le operazioni FIMI sfruttano deliberatamente questo bias algoritmico, producendo contenuti progettati non per informare ma per provocare reazioni viscerali che garantiscano massima diffusione con minimo investimento.
In termini di distribuzione per piattaforma, il 3° Report EEAS ha rilevato che X (ex Twitter) concentra l’88% dell’attività FIMI rilevata, seguito da Facebook e da una rete di siti web manipolativi. Il predominio di X si spiega sia con la presenza massiccia di account CIB sia con la facilità di creare account usa-e-getta sulla piattaforma. Un trend emergente è l’espansione delle attività FIMI verso Bluesky, segnale degli sforzi degli attori ostili per estendere la propria influenza sulle piattaforme emergenti.
Ingegneria sociale: sfruttamento delle vulnerabilità cognitive
La dimensione psicologica della FIMI si basa su decenni di ricerca in scienze comportamentali. Il confirmation bias, la tendenza umana a cercare informazioni che confermino credenze preesistenti, viene sistematicamente sfruttato attraverso micro-targeting algoritmico. I dati estratti da piattaforme social (likes, condivisioni, permanenza su contenuti, reti di connessioni) permettono la creazione di modelli psicometrici dettagliati che identificano vulnerabilità specifiche.
La teoria dei filter bubbles e delle echo chambers, sviluppata da Eli Pariser (The Filter Bubble: What the Internet Is Hiding from You, Penguin Press, 2011) e approfondita da Cass Sunstein (#Republic: Divided Democracy in the Age of Social Media, Princeton University Press, 2017), descrive come l’esposizione selettiva a informazioni consonanti crei camere di risonanza dove narrative alternative faticano a penetrare. Le operazioni FIMI non creano queste camere, le trovano e le colonizzano.
Un esempio significativo è l’attività dell’Internet Research Agency (IRA) durante il referendum britannico sulla Brexit del 2016. Secondo i dati rilasciati da Twitter nel 2018, 3.841 account di origine russa affiliati all’IRA avevano partecipato alla conversazione sul referendum; ricercatori delle università di Swansea e UC Berkeley identificarono circa 150.000 account con legami con la Russia che avevano pubblicato contenuti sulla Brexit nei giorni precedenti il voto.
Il report della House of Commons (Digital, Culture, Media and Sport Committee, 2019) ha documentato come media allineati al Cremlino avessero pubblicato centinaia di articoli con orientamento anti-UE, e come Sputnik avesse gestito pagine su Facebook collegate alla propria redazione. Questi contenuti si inserivano in un ecosistema informativo dove le echo chambers euroscettiche preesistenti fungevano da amplificatore naturale.
La polarizzazione affettiva viene alimentata attraverso tecniche di wedge driving: identificazione di fratture sociali (razza, religione, classe, identità) e produzione sistematica di contenuti che esacerbano le divisioni. Il modello operativo non mira a convincere gli avversari ma a radicalizzare gli alleati e demotivare i moderati, alterando così la composizione dell’ecosistema informativo.
Strumenti di influenza tradizionale: legittimare l’inautentico
Il finanziamento di media proxy rappresenta l’elemento più sofisticato delle operazioni FIMI. Testate come RT (Russia Today) e CGTN (China Global Television Network) operano formalmente come media legittimi, con giornalisti professionali, produzione di qualità, e copertura di temi reali. Tuttavia, la loro funzione primaria è creare carrier platforms per narrative strategiche, alternando contenuto autentico e propaganda in proporzioni che rendono difficile la distinzione.
Il 3° Report EEAS ha introdotto una tassonomia strutturata per classificare questi canali – la FIMI Exposure Matrix – che distingue quattro livelli di infrastruttura: canali ufficiali di Stato, media controllati dallo Stato (come RT e Sputnik), canali collegati allo Stato (le cui connessioni sono occultate e vengono scoperte attraverso intelligence proprietaria o classificata) e canali allineati allo Stato (non formalmente attribuiti ma sistematicamente coinvolti in attività FIMI). Questa classificazione evidenzia come l’infrastruttura visibile rappresenti solo la punta dell’iceberg: nell’analisi del SEAE, i canali attribuiti direttamente alla Russia costituiscono il 20% dell’architettura totale, quelli cinesi il 3,5%, mentre oltre il 76% è costituito da canali non attribuiti ma sistematicamente allineati.
Lo stesso schema si riscontra sul versante occidentale. Voice of America (VOA), finanziata dal governo statunitense tramite l’US Agency for Global Media (USAGM), opera secondo logiche analoghe. VOA produce contenuti professionali con giornalisti qualificati e copertura di notizie reali (economia, cultura, diritti umani), ma integra narrative strategiche statunitensi come “promozione della democrazia” e critiche a regimi avversari (Cina, Russia, Iran). L’alternanza tra reportage di taglio giornalistico e narrative di orientamento strategico rende ardua la distinzione per il pubblico globale.
Caso Venezuela (2019)
- Contenuti giornalistici: reportage su crisi economica e aiuti umanitari.
- Narrative strategiche: amplificazione del sostegno a Guaidó come “presidente legittimo” – riconosciuto dagli Stati Uniti e da oltre 50 Paesi – con una copertura in cui la linea tra reportage e posizionamento politico risultava sfumata. Secondo un’analisi dell’International Crisis Group, la comunicazione statunitense sulla crisi venezuelana integrava obiettivi informativi e strategici in modo difficilmente distinguibile per il pubblico internazionale.
Questo approccio – comune, come si è visto, a media proxy di diversa matrice geopolitica – crea carrier platforms che rendono difficile distinguere l’informazione giornalistica dall’influenza statale. Va osservato che il caso VOA-Venezuela, a differenza di Doppelganger, non è classificato come operazione FIMI da alcun organismo istituzionale: l’inclusione in questa analisi mira a evidenziare come le tecniche di influenza informativa non siano prerogativa di un singolo attore geopolitico.
L’infiltrazione di comunità online segue dinamiche simili al community organizing, ma con obiettivi opposti. Operatori addestrati si inseriscono in forum, gruppi social e piattaforme di gaming, costruendo credibilità attraverso anni di partecipazione autentica prima di introdurre gradualmente contenuti manipolativi. Questa tecnica di astroturfing profondo, la creazione di un consenso apparentemente spontaneo, è estremamente efficace perché sfrutta la fiducia accumulata all’interno di comunità chiuse.
Mimetismo e ambiguità: il vantaggio strategico della FIMI
La natura ibrida della FIMI la rende particolarmente insidiosa. Mentre un attacco informatico lascia tracce forensi (log di accesso, indicatori di compromissione, firme di malware), le operazioni FIMI si mimetizzano nel normale traffico informativo, sfruttando le dinamiche organiche dei social media. L’attribuzione diventa problematica, distinguere bot sofisticati da utenti autentici richiede analisi comportamentali complesse, separare l’influenza straniera dal dibattito domestico solleva questioni di sovranità informativa e libertà di espressione.
Il vero vantaggio strategico della FIMI risiede in questa ambiguità operativa: trasformare la forza delle democrazie liberali – apertura informativa, pluralismo, protezione della libertà di espressione – in vulnerabilità sfruttabili, creando un dilemma dove ogni risposta rischia di danneggiare i valori che dovrebbe proteggere.
L’approccio whole of society europeo
Il concetto di whole of society trasforma la difesa dello spazio informativo da una missione esclusiva degli apparati di sicurezza a un dovere civico collettivo. In termini di intelligence, significa riconoscere che lo Stato non possiede né i mezzi legali né la capacità tecnica per monitorare ogni singola interazione digitale senza trasformarsi in un regime autoritario.
Per strutturare questa difesa senza abdicare ai valori democratici, l’Unione Europea ha introdotto strumenti legislativi come il Digital Services Act (DSA) e il potenziamento del Codice di buone pratiche sulla disinformazione. Il 13 febbraio 2025, la Commissione Europea e il Comitato europeo per i servizi digitali hanno approvato l’integrazione del Codice di buone pratiche del 2022 nel quadro del DSA, trasformandolo in Codice di condotta sulla disinformazione, un passaggio che ne rafforza la vincolatività giuridica. Queste norme mirano a imporre una accountability algoritmica, costringendo i giganti tecnologici a essere trasparenti sulla gestione dei rischi sistemici. Non si tratta di censura, ma di imporre regole di sicurezza a quella che è, a tutti gli effetti, un’infrastruttura critica del dibattito pubblico.
Sul piano operativo, il SEAE gestisce il Rapid Alert System (RAS), istituito nel 2019 come pilastro dell’Action Plan against Disinformation approvato dal Consiglio Europeo nel dicembre 2018. Il RAS facilita lo scambio di informazioni e il coordinamento delle risposte tra tutte le istituzioni UE e gli Stati membri, attingendo a dati open source e insight provenienti dal mondo accademico, dai fact-checker, dalle piattaforme online e dai partner internazionali.
Durante le elezioni europee del 2024, un gruppo di lavoro dedicato è stato istituito all’interno del RAS per potenziare lo scambio informale e rapido, in aggiunta alle riunioni periodiche. A livello internazionale, il G7 Rapid Response Mechanism (RRM), istituito nel 2018, funge da ulteriore livello di coordinamento per le risposte congiunte alle campagne FIMI sponsorizzate da Stati. Nel 2023, il Vicepresidente/Alto Rappresentante Josep Borrell ha annunciato la creazione del FIMI Information Sharing and Analysis Centre (ISAC) presso il SEAE, un centro dedicato alla condivisione di informazioni tra tutti gli stakeholder su cause, incidenti, minacce e analisi.
Il DISARM Framework: il MITRE ATT&CK del dominio informativo
Per tradurre l’analisi della FIMI in un linguaggio operativo familiare ai professionisti della cybersecurity, la comunità internazionale ha sviluppato il framework DISARM (Disinformation Analysis and Risk Management). Creato nel 2022 dalla DISARM Foundation – con il contributo di MITRE, della Florida International University e del Cognitive Security Collaborative – il DISARM è strutturalmente ispirato al MITRE ATT&CK e ne replica la logica di tassonomia delle minacce per il dominio informativo. Il framework si articola in due componenti: il DISARM Red Framework, che cataloga le TTP offensive utilizzate nelle operazioni di disinformazione e FIMI, e il DISARM Blue Framework, che mappa le contromisure disponibili per ciascuna tecnica d’attacco.
Il DISARM adotta la stessa architettura concettuale di ATT&CK: tattiche (obiettivi operativi come Develop Narratives, Maximise Exposure, Assess Effectiveness), tecniche (azioni specifiche come Develop AI-Generated Videos/Deepfakes, Flood Information Space, Compromise Legitimate Accounts) e procedure (combinazioni specifiche di tecniche che caratterizzano il modus operandi di un attore, analoghe ai fingerprint comportamentali nel threat hunting cyber). Il framework utilizza il formato STIX (Structured Threat Information Expression), lo stesso standard impiegato per la condivisione di Cyber Threat Intelligence, rendendo possibile l’integrazione diretta con piattaforme CTI come OpenCTI e garantendo l’interoperabilità con gli strumenti già in uso nei SOC.
Come dimostrato dal rapporto congiunto ENISA-EEAS, l’uso simultaneo di DISARM e MITRE ATT&CK sugli stessi incidenti permette di identificare pattern che sfuggirebbero all’analisi condotta con un solo framework: il rilevamento di tattiche ATT&CK come Resource Development o Initial Access può segnalare la fase preparatoria di un’operazione FIMI, mentre l’identificazione di tattiche DISARM come Develop Content o Select Channels and Affordances può indicare un’infrastruttura di attacco in costruzione.
Il DISARM è oggi adottato dal SEAE nei suoi report FIMI, da ENISA, dal FIMI-ISAC e da un numero crescente di organizzazioni di difesa dell’integrità informativa, tra cui EU DisinfoLab e il network EDMO. Per i team di cybersecurity, il DISARM rappresenta l’equivalente di ATT&CK per il dominio FIMI: uno strumento per passare dalla descrizione narrativa delle campagne di disinformazione a un’analisi strutturata, condivisibile e azionabile delle minacce informative.
Il quadro normativo italiano: Legge 90/2024 e il ruolo dell’ACN
Sul piano nazionale, il contesto in cui operano i professionisti italiani della cybersecurity è stato ridefinito dalla Legge 28 giugno 2024, n. 90, prima normativa organica in materia di rafforzamento della cybersicurezza nazionale e contrasto ai reati informatici.
La legge attribuisce all’Agenzia per la Cybersicurezza Nazionale (ACN) un ruolo centrale nella gestione degli incidenti: le pubbliche amministrazioni e le aziende operanti in settori critici sono tenute a notificare ogni incidente al CSIRT Italia entro 24 ore per la segnalazione preliminare e 72 ore per la notifica completa. L’ACN dispone inoltre del potere di emanare segnalazioni puntuali su vulnerabilità, con tempistiche stringenti per l’adozione di misure correttive e un regime sanzionatorio per la mancata conformità. Sul fronte degli approvvigionamenti, l’articolo 14 introduce criteri di premialità per tecnologie di cybersicurezza sviluppate in Italia, nell’UE o in ambito NATO, nell’ottica di una maggiore sovranità tecnologica.
A questo si aggiunge il recepimento della Direttiva NIS2 attraverso il D.Lgs. 138/2024, che estende gli obblighi di sicurezza e notifica a un perimetro più ampio di soggetti essenziali e importanti. L’integrazione tra Legge 90/2024 e NIS2 configura un quadro normativo significativamente più strutturato rispetto al passato.
Tuttavia, emerge una lacuna rilevante: né la Legge 90/2024 né il recepimento della NIS2 affrontano esplicitamente la minaccia FIMI come fenomeno distinto dagli incidenti cyber in senso tecnico. L’ACN si concentra, legittimamente, sulla protezione delle reti e dei sistemi informativi, ma l’Italia non dispone di un equivalente del VIGINUM francese, il servizio istituito nel 2021 specificamente per il monitoraggio delle interferenze digitali straniere nel dibattito pubblico. Questa assenza lascia scoperta la zona grigia in cui le operazioni FIMI si sovrappongono al dominio cyber, esattamente l’area che il rapporto congiunto ENISA-EEAS identifica come il terreno più insidioso della minaccia ibrida.
Tuttavia, un’analisi più attenta rivela un paradosso operativo, questo bilanciamento è un esercizio di funambolismo politico estremamente delicato. Se le contromisure diventano troppo aggressive, si rischia di innescare un effetto boomerang.
Un approccio eccessivamente repressivo finisce per convalidare la narrativa degli avversari strategici, che accusano l’Occidente di ipocrisia e autoritarismo. In questo scenario, la difesa stessa diventa un’arma nelle mani della FIMI, se lo Stato sopprime il dissenso per proteggere la democrazia, rischia di replicare proprio quelle dinamiche di controllo sociale tipiche dei regimi autocratici.
Questa fragilità strutturale è aggravata dal fatto che gli “anticorpi” del sistema – fact-checkers, media e accademia – sono a loro volta bersagli di infiltrazione. Un attore ostile sofisticato non attacca solo il cittadino comune, ma punta a inquinare i sensori della rete di difesa.
I fact-checkers possono essere indotti in errore attraverso campagne di mirroring o sovraccaricati di falsi segnali; i media possono diventare veicoli involontari di narrazioni tossiche, confezionate – o talvolta auto-confezionate – sotto forma di scoop.
Un caso emblematico è quello del falso fact-checking russo: nel 2024, la Russia ha lanciato il “Global Fact-Checking Network”, un’iniziativa presentata come indipendente ma progettata per legittimare la disinformazione attraverso una struttura che ne imitava le forme istituzionali, tentando di inquinare dall’interno l’ecosistema stesso del debunking.
Il caso dei “chip nelle lavatrici” e delle “pale”: quando il debunking diventa amplificazione
Le narrazioni riguardanti l’uso di chip estratti dalle lavatrici e i soldati russi armati di sole pale rappresentano casi emblematici di come dati tecnici o rapporti di intelligence reali possano trasformarsi in iperboli mediatiche.
Nel primo caso, una dichiarazione di Ursula von der Leyen – pronunciata il 14 settembre 2022 nel discorso sullo Stato dell’Unione al Parlamento Europeo di Strasburgo, e coerente con quanto dichiarato dalla Segretaria al Commercio USA Gina Raimondo al Senato nel maggio dello stesso anno – basata sull’uso documentato di componenti elettroniche dual-use è stata semplificata dai media fino a suggerire un letterale smontaggio di elettrodomestici sul campo, mentre dati commerciali analizzati da Bloomberg mostravano effettivamente un’impennata anomala nelle esportazioni di lavatrici e frigoriferi europei verso Paesi confinanti con la Russia.
Nel secondo, un briefing di intelligence del Ministero della Difesa britannico del 5 marzo 2023, che documentava come riservisti russi mobilitati fossero stati inviati ad assaltare una postazione ucraina “armati solo di armi da fuoco e pale”, con riferimento alla pala da trincea MPL-50, arma “particolarmente mitizzata” nella tradizione militare russa, è stato ridotto dai media al titolo sensazionalistico sulla mancanza di munizioni.
In questo contesto, alcuni interventi di fact-checking hanno contribuito involontariamente all’effetto opposto: nel tentativo di smentire la notizia, si sono spinti fino a descrivere il modello specifico di pala utilizzata – un dettaglio tecnicamente corretto ma narrativamente irrilevante – producendo un classico caso di overdebunking, che finisce per alimentare la propaganda anziché contrastarla.
Secondo i criteri del SEAE (Servizio Europeo per l’Azione Esterna), questi episodi rientrano nel fenomeno della manipolazione FIMI poiché l’ipersemplificazione emotiva dei fatti espone il fianco alla contropropaganda avversaria. Quest’ultima utilizza la tecnica della weaponization of ridicule per screditare le fonti occidentali e accusarle di diffondere falsità, rafforzando il consenso interno attraverso la derisione dell’avversario.
In questo scenario, la disinformazione non viene semplicemente subita, ma co-prodotta, e il danno ricade anche su chi l’ha innescata. Il modello whole of society si trova così esposto a un rischio strutturale, la possibilità che la cura, se piegata a logiche politiche di breve periodo, diventi tossica quanto la malattia, e che i “medici” del sistema – media e fact-checker – vengano arruolati, talvolta inconsapevolmente, come amplificatori di una patologia che mina la credibilità dell’intero sistema informativo.
Resilienza sistemica come deterrenza
La vera efficacia contro la FIMI non risiede nella censura o nel fact-checking reattivo, ma nella costruzione di una resilienza sistemica. Alfabetizzazione mediale, diversità dell’ecosistema informativo, trasparenza degli algoritmi e rafforzamento della coesione sociale costituiscono barriere strutturali contro la manipolazione. La FIMI prospera nelle società polarizzate, nelle democrazie fragili e in crisi; inversamente, società coese, con istituzioni credibili e cittadini criticamente alfabetizzati rappresentano obiettivi difficili da penetrare.
La sfida fondamentale che l’intelligence contemporanea si trova ad affrontare è di natura epistemologica: in un’era in cui la produzione e la diffusione di contenuti sono state radicalmente democratizzate, il confine tra un legittimo dibattito d’opinione e una manipolazione coordinata condotta da attori ostili diventa sempre più sfumato. La risposta a questa minaccia non può essere affidata esclusivamente a soluzioni tecnologiche o algoritmi di filtraggio poiché una difesa puramente tecnica rischia di curare il sintomo ignorando la patologia.
Il cuore del problema risiede nella fiducia condivisa, quel collante invisibile che permette a una società di funzionare nonostante le divergenze interne. È proprio questa fiducia il bersaglio strategico della FIMI. Se il cittadino non crede più a nessuno, né alle istituzioni, né ai media, né ai propri simili, l’operazione di influenza ha vinto, indipendentemente dalla verità dei fatti.
La parabola dei chip nelle lavatrici insegna che quando gli “anticorpi” si prestano a narrazioni caricaturali, non fanno che accelerare l’erosione di questo capitale sociale, fornendo agli avversari l’arma del discredito.
E se si ipotizza che alcune di queste narrazioni possano essere state manipolate o amplificate anche da un terzo attore – ad esempio potenze formalmente alleate – si introduce una dimensione ancora più sofisticata all’analisi: il controllo riflessivo esercitato non contro il nemico, ma contro un alleato.
Per questo motivo, la dottrina del whole of society deve evolvere oltre la semplice sorveglianza informativa. Richiede un investimento profondo nelle istituzioni democratiche affinché tornino a essere generatori credibili di senso, con scelte orientate all’interesse collettivo. La vera resilienza non si misura nel numero di post rimossi in applicazione del Digital Services Act, ma nella capacità di una società di accogliere il dissenso e la complessità senza frammentarsi.
Solo ricostruendo un’autorità basata sul rigore e sulla trasparenza, capace di ammettere i propri errori, sarà possibile neutralizzare la FIMI. La migliore operazione di contro-intelligence che una democrazia possa mettere in campo è la propria integrità, una verità solida, per quanto scomoda, rimane l’unico scudo efficace contro la manipolazione e il miglior hardening per l’anello più debole della catena nella cybersecurity: il rapporto tra l’essere umano e l’informazione.
Fonti:
EEAS, 3rd Report on Foreign Information Manipulation and Interference Threats,
https://www.eeas.europa.eu/sites/default/files/documents/2025/EEAS-3nd-ThreatReport-March-2025-05-Digital-HD.pdf
EEAS, 2nd Report on Foreign Information Manipulation and Interference Threats,
https://www.eeas.europa.eu/sites/default/files/documents/2024/EEAS-2nd-Report%20on%20FIMI%20Threats-January-2024_0.pdf
EEAS, Factsheet: EU Rapid Alert System,
https://www.eeas.europa.eu/eeas/factsheet-rapid-alert-system_en
EEAS, Inside the Infrastructure of Foreign Information Manipulation and Interference (FIMI) Operations,
https://www.eeas.europa.eu/eeas/inside-infrastructure-foreign-information-manipulation-and-interference-fimi-operations_en
EEAS, Information Integrity and Countering Foreign Information Manipulation and Interference (FIMI),
https://www.eeas.europa.eu/eeas/information-integrity-and-countering-foreign-information-manipulation-interference-fimi_en
OpenAI, Influence and Cyber Operations: An Update,
https://cdn.openai.com/threat-intelligence-reports/influence-and-cyber-operations-an-update_October-2024.pdf
MIT Election Data and Science Lab / CEPR (Curiel & Williams), Analysis of the 2019 Bolivia Election,
https://cepr.net/report/analysis-of-the-2019-bolivia-election/
World Development (Idrobo, Kronick, Rodríguez), Do Shifts in Late-Counted Votes Signal Fraud? Evidence From Bolivia,
https://www.sciencedirect.com/science/article/abs/pii/S0305750X23002255
Google Threat Analysis Group / Mandiant, Over 50,000 Instances of DRAGONBRIDGE Activity Disrupted in 2022,
https://blog.google/threat-analysis-group/over-50000-instances-of-dragonbridge-activity-disrupted-in-2022/
Citizen Lab (University of Toronto), Paperwall: Chinese Websites Posing as Local News Outlets Target Global Audiences,
https://citizenlab.ca/2024/02/paperwall-chinese-websites-posing-as-local-news-outlets-with-pro-beijing-content/
Mandiant, HaiEnergy: Chinese Information Operations Campaign Leverages Infrastructure Associated with a PR Firm,
https://www.mandiant.com/resources/blog/pro-prc-information-operations-campaign-haienergy
Meta Platforms, The State of Influence Operations 2017–2020,
https://about.fb.com/wp-content/uploads/2021/05/IO-Threat-Report-May-20-2021.pdf
Graphika, Exposing Secondary Infektion,
https://graphika.com/reports/exposing-secondary-infektion
Harvard Kennedy School – Misinformation Review, Beyond the Deepfake Hype: AI, Democracy, and the Slovak Case,
https://misinforeview.hks.harvard.edu/article/beyond-the-deepfake-hype-ai-democracy-and-the-slovak-case/
ICWSM Workshop Proceedings (Bohacek), Slovakia as the Precursor to Deepfake-Enabled Election Interference,
https://workshop-proceedings.icwsm.org/pdf/2024_67.pdf
ENISA & EEAS, Foreign Information Manipulation and Interference (FIMI) and Cybersecurity: Threat Landscape,
https://www.enisa.europa.eu/publications/foreign-information-manipulation-and-interference-and-cybersecurity
DISARM Foundation, DISARM Framework: Disinformation Analysis and Risk Management,
https://disarm.foundation/
Cloudflare, Helping Protect the 2025 Moldova Elections,
https://blog.cloudflare.com/helping-protect-the-2025-moldova-elections/
Eli Pariser, The Filter Bubble: What the Internet Is Hiding from You,
https://www.penguinrandomhouse.com/books/309214/the-filter-bubble-by-eli-pariser/
Cass R. Sunstein, #Republic: Divided Democracy in the Age of Social Media,
https://press.princeton.edu/books/hardcover/9780691175515/republic
UK House of Commons – Digital, Culture, Media and Sport Committee, Disinformation and “Fake News”: Final Report (HC 1791),
https://committees.parliament.uk/work/6330/disinformation-and-fake-news/
Llewellyn, Cram, Favero & Hill (ACM/IEEE JCDL 2018), Russian Troll Hunting in a Brexit Twitter Archive,
https://doi.org/10.1145/3197026.3203876
G7 Rapid Response Mechanism, Annual Report 2021,
https://www.international.gc.ca/transparency-transparence/rapid-response-mechanism-mecanisme-reponse-rapide/2021-annual-report-rapport-annuel.aspx?lang=eng
Unione Europea, Regolamento (UE) 2022/2065 – Digital Services Act,
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2065
Commissione Europea, Action Plan against Disinformation,
https://www.eeas.europa.eu/sites/default/files/action_plan_against_disinformation.pdf
Progettista di sistemi esperti, software developer, network e system engineer, con oltre 30 anni di esperienza nell’ambito della sicurezza delle informazioni, Francesco Arruzzoli è il Resp. del Centro Studi Cyber Defense Cerbeyra, dove svolge attività di R&D, analisi delle cyber minacce e progettazione di nuove soluzioni per la cyber security di aziende ed enti governativi. Esperto di Cyber Threat Intelligence e contromisure digitali, autore di libri ed articoli sue riviste del settore, in passato ha lavorato per multinazionali, aziende della sanità italiana, collaborato con enti governativi e militari. In qualità di esperto cyber ha svolto inoltre attività di docenza presso alcune università italiane.
https://www.ictsecuritymagazine.com/articoli/foreign-information-manipulation-and-interference/
