La settimana del 7 aprile 2026 racconta tutto quello che c’è da sapere sulla cyberguerra. L’FBI smantella una rete di 18.000 router compromessi in 120 paesi, tutti sotto il controllo dell’intelligence militare russa — il GRU, per la precisione, attraverso il gruppo APT28 noto come Fancy Bear. Lo stesso giorno, la CISA lancia un’allerta: hacker affiliati all’Iran hanno penetrato i controllori logici programmabili di impianti idrici ed energetici americani, manipolando direttamente i sistemi SCADA che gestiscono acquedotti e centrali. Nel frattempo, i gruppi cinesi Salt Typhoon e Volt Typhoon restano silenziosamente annidati nelle reti di telecomunicazione di oltre 80 paesi, intercettando le comunicazioni di funzionari governativi e militari. Tre fronti aperti, tre superpotenze coinvolte, zero dichiarazioni di guerra. Un conflitto che si combatte ogni giorno, ogni ora, su ogni rete — e di cui la maggior parte delle persone non sa nemmeno l’esistenza.
Il punto è che la cyberguerra non è più una metafora né un esercizio teorico da convegno NATO. È un conflitto permanente a bassa intensità dove gli obiettivi sono i sistemi che tengono in piedi le società: acquedotti, reti elettriche, ospedali, telecomunicazioni. Chi paga il prezzo più alto non sono i generali o i politici che ordinano queste operazioni, ma i civili che si ritrovano senza acqua, senza luce, senza comunicazioni — spesso senza nemmeno sapere perché. Il cyberspazio è stato ufficialmente riconosciuto come quinto dominio di guerra, dopo terra, mare, aria e spazio. Ma a differenza degli altri quattro, qui non esistono linee del fronte, non esistono zone demilitarizzate, e soprattutto non esistono regole che qualcuno si preoccupi davvero di rispettare.
Il quinto dominio e i suoi padroni
Il rapporto Armis sulla cyberguerra 2026 fotografa una situazione che definire allarmante è un eufemismo. L’89% dei leader IT a livello globale teme attacchi di stato potenziati dall’intelligenza artificiale — un dato in crescita rispetto al 73% dell’anno precedente. Ma il numero più inquietante è un altro: il 66% delle organizzazioni ha subito almeno due violazioni nell’ultimo anno, nonostante il 79% dichiari di essere “preparata”. È quello che gli analisti chiamano il paradosso della preparazione: le aziende superano gli audit, spuntano le checklist, e poi si ritrovano con le reti bucate dal GRU russo o dal Ministero della Sicurezza di Stato cinese. Russia (62%), Cina (53%) e Corea del Nord (35%) guidano la classifica delle minacce percepite, ma il dato più crudo è che il 54% delle aziende britanniche — per citare un solo paese — dichiara di aver subito attacchi riconducibili ad attori statali nell’ultimo anno. La compliance come teatro della sicurezza: un copione che conosciamo bene.
I protagonisti della cyberguerra sono sempre gli stessi, anche se le loro tattiche evolvono con una velocità che fa impallidire qualsiasi difesa. La Russia, identificata come la minaccia più grave dalla maggioranza degli intervistati, ha appena dimostrato di saper operare su scala industriale. L’Operazione Masquerade — il nome in codice dato dall’FBI all’intervento contro APT28 — ha rivelato una campagna di DNS hijacking che al suo apice controllava router domestici e di piccoli uffici in 120 paesi. Il meccanismo era elegante nella sua brutalità: i router TP-Link compromessi, sfruttando una vulnerabilità nota dal 2023 che nessuno si era preoccupato di patchare, venivano usati per redirigere il traffico DNS degli utenti verso nodi controllati dai russi, dove le credenziali di accesso a Microsoft 365 e altri servizi venivano raccolte come mele mature. I bersagli principali? Ministeri degli esteri, forze dell’ordine, infrastrutture critiche in Europa, Africa del Nord, Sud-est asiatico e America Centrale. Non esattamente il profilo di un’operazione criminale: questo è spionaggio militare su scala globale, condotto attraverso i router che hai in salotto.
La Cina gioca una partita diversa ma non meno pericolosa. I due gruppi che hanno fatto più danni — Salt Typhoon e Volt Typhoon — rappresentano due facce della stessa strategia. Salt Typhoon, operato dal Ministero della Sicurezza di Stato, ha infiltrato le reti di oltre 200 organizzazioni in più di 80 paesi, con un focus particolare sulle telecomunicazioni americane: Verizon, AT&T, T-Mobile, Lumen — i più grandi operatori degli Stati Uniti sono stati penetrati, e i cinesi hanno avuto accesso a registri delle chiamate, messaggi di testo e persino audio delle conversazioni di alti funzionari governativi. Al Senato USA, nel dicembre 2025, la conclusione è stata brutale: le aziende telecom non hanno dimostrato in modo convincente di aver cacciato gli intrusi dalle proprie reti. Volt Typhoon, gestito direttamente dall’esercito cinese, va ancora oltre: non si limita allo spionaggio ma piazza “trappole digitali” nelle infrastrutture critiche americane — manifattura, trasporti, servizi pubblici — pronte a essere attivate in caso di conflitto militare su Taiwan. Non è paranoia, è dottrina militare documentata.
E poi c’è l’Iran, che ha abbandonato definitivamente la fase dello spionaggio passivo per passare alla disruption attiva. L’advisory della CISA del 7 aprile 2026 non lascia spazio a interpretazioni: gruppi affiliati al governo iraniano stanno attaccando i controllori logici programmabili Unitronics utilizzati negli impianti idrici, energetici e nelle strutture governative americane. Almeno 75 dispositivi compromessi, con manipolazione diretta dei file di progetto e dei dati visualizzati sui display HMI e SCADA. Tradotto dal gergo tecnico: qualcuno dall’altra parte del mondo può decidere cosa vedi — o non vedi — sui pannelli di controllo del tuo acquedotto. Alcune vittime hanno subito interruzioni operative e perdite economiche reali. L’Iran, va ricordato, sta valutando operazioni cyber distruttive come vettore di ritorsione dopo le azioni militari israeliane e americane — un tema che abbiamo già affrontato parlando dell’attacco a Stryker.
Router, acquedotti e reti elettriche: il bersaglio siamo noi
C’è un filo rosso che collega tutti questi attacchi e che i rapporti ufficiali tendono a minimizzare: il bersaglio finale è sempre la popolazione civile. Quando un gruppo di hacker militari russi compromette 18.000 router domestici, non sta attaccando un esercito — sta trasformando le connessioni internet di famiglie e piccole imprese in armi di spionaggio. Quando gli iraniani manipolano i PLC di un impianto idrico, il rischio non è astratto: è acqua contaminata o non disponibile per una comunità intera. E quando i cinesi intercettano le comunicazioni telefoniche di un paese, la sorveglianza non riguarda solo i politici con i telefoni criptati — riguarda chiunque usi quelle reti. Nessuno di questi attacchi prende di mira installazioni militari o basi segrete; colpiscono sistemi civili perché è lì che si concentra la vulnerabilità e l’impatto è massimo. Il termine tecnico è “proiezione di forza attraverso le infrastrutture critiche”, ma detto senza mezzi termini significa che tu, la tua famiglia, il tuo quartiere siete diventati obiettivi militari senza che nessuno vi abbia chiesto il permesso.
L’Ucraina è il laboratorio dove questo modello di guerra è stato perfezionato, e i dati lo confermano con una chiarezza brutale. Nel solo 2024, gli attacchi informatici contro le infrastrutture civili e di difesa ucraine sono aumentati del 70%, con oltre mille operazioni in un anno dirette contro governo, esercito e infrastrutture civili. L’attacco a Kyivstar, il più grande operatore telecom ucraino con 24 milioni di abbonati, ha dimostrato cosa succede quando la cyberguerra colpisce davvero: un paese intero tagliato fuori dalle comunicazioni, con conseguenze che vanno dal panico alla paralisi dei servizi di emergenza. I ricercatori che hanno studiato l’impatto sui civili ucraini lo descrivono con un’espressione che vale più di qualsiasi analisi tecnica: “è come un’esplosione”. Mancanza di informazioni, impossibilità di accedere ai servizi essenziali, danni fisici reali, ansia diffusa e perdita di fiducia nelle istituzioni — questo è il bilancio umano della cyberguerra, quello che non finisce mai nei briefing del Pentagono o della NATO. Non a caso, nell’ottobre 2025, il parlamento ucraino ha approvato la creazione di una Forza Cyber dedicata, con l’obiettivo di raggiungere il 60% di operatività entro il 2026 — il riconoscimento tardivo che il cyberspazio non è un fronte secondario ma il teatro dove si decide la sopravvivenza di un intero paese.
Il paradosso più feroce è che gli stessi stati che conducono operazioni offensive sono quelli che poi si presentano come difensori dei propri cittadini. Gli Stati Uniti, che attraverso la NSA hanno condotto per decenni operazioni di sorveglianza e sabotaggio informatico — Stuxnet, il virus che nel 2010 ha distrutto le centrifughe nucleari iraniane, sviluppato dalla NSA insieme all’intelligence israeliana — ora si lamentano perché cinesi e iraniani usano le stesse tattiche contro di loro. Stuxnet ha stabilito il precedente: uno stato può distruggere fisicamente le infrastrutture di un altro attraverso il codice, e nessuno gliene chiederà mai conto davanti a un tribunale internazionale. Da allora, il vaso di Pandora è rimasto spalancato. La Russia, che ha perfezionato la guerra ibrida combinando attacchi informatici, propaganda e operazioni di influenza, presenta le proprie azioni come “difesa legittima”. L’Iran giustifica gli attacchi alle infrastrutture americane come risposta alle aggressioni militari subite. Ogni stato è contemporaneamente aggressore e vittima, carnefice e martire — e l’unico attore che non ha mai voce in capitolo è il civile il cui acquedotto smette di funzionare alle tre di notte.
C’è poi la questione della vulnerabilità strutturale che nessuno vuole affrontare seriamente. Il rapporto Armis rivela un dato che dovrebbe far rabbrividire chiunque: il 52% delle organizzazioni ammette che il riscatto medio pagato in caso di ransomware supera il proprio budget annuale per la cybersicurezza. Significa che spendiamo di più per pagare i criminali — spesso collegati a governi ostili — di quanto investiamo per difenderci. L’Italia non fa eccezione: nel solo gennaio 2026, secondo l’ACN, gli eventi cyber nel nostro paese sono aumentati del 42% rispetto al mese precedente, con oltre 500 attacchi registrati nel 2025 e un incremento del 40% anno su anno. Le infrastrutture critiche di mezzo mondo girano su software vecchio di decenni, con vulnerabilità note e mai corrette, connesso a internet perché “fa comodo” e protetto da password che farebbero ridere uno script kiddie del 2003. La vulnerabilità CVE-2023-50224 sfruttata da APT28 per compromettere i router TP-Link? Era nota da tre anni — tre anni in cui nessuno, né il produttore, né gli ISP, né i governi, si è preoccupato di forzare un aggiornamento. La cyberguerra non funzionerebbe se non costruissimo sistemi progettati per essere violati.
Proxy, hacktivisti e la guerra senza confini
La frontiera più recente — e per certi versi più inquietante — della cyberguerra è la proliferazione di gruppi hacktivisti che operano come proxy degli stati, creando una zona grigia dove diventa impossibile distinguire l’azione governativa dall’attivismo spontaneo. Nel 2026, più di 70 gruppi hacktivisti sono diventati partecipanti attivi nei conflitti in corso, e la linea tra operazioni sponsorizzate dallo stato e cyber-attivismo indipendente si è fatta talmente sottile da risultare inesistente. È una strategia vecchia come la guerra stessa — usare mercenari e irregolari per condurre operazioni che lo stato non vuole rivendicare — applicata al dominio digitale con un’efficacia devastante. Il vantaggio per i governi è doppio: ottengono capacità offensiva aggiuntiva a costo quasi zero e mantengono la cosiddetta negabilità plausibile, potendo sempre sostenere che si tratta di “patrioti indipendenti” mossi da convinzione ideologica. Il problema è che questi gruppi operano senza alcun vincolo giuridico, senza regole di ingaggio, senza distinzione tra obiettivi militari e civili — e quando le cose vanno male, nessuno è responsabile.
Il caso più emblematico è quello di NoName057(16), il gruppo hacktivista filorusso che dal 2022 ha rivendicato oltre 1.500 attacchi DDoS contro paesi allineati con la NATO. Il loro strumento principale, DDoSia, è una piattaforma di attacco crowdsourced: reclutano volontari che mettono a disposizione la potenza di calcolo dei propri computer per bombardare i siti di governi e infrastrutture critiche occidentali. Al picco dell’attività, il gruppo colpiva 50 obiettivi unici al giorno — una cadenza che nessun esercito convenzionale potrebbe sostenere con le proprie risorse. L’operazione Eastwood di Europol, che ha coinvolto 19 paesi, ha temporaneamente disruptato le loro operazioni, ma chiunque abbia un minimo di esperienza sa che questi gruppi si ricostituiscono in settimane, non in mesi. La domanda vera non è se NoName057(16) sia direttamente controllato dal Cremlino — probabilmente lo è, almeno in parte — ma cosa significa quando uno stato trasforma i propri cittadini in soldati digitali volontari, creando un esercito informale che può essere attivato e disattivato a piacimento senza alcuna responsabilità formale.
KillNet ha seguito un’evoluzione ancora più rivelatrice del rapporto tossico tra stati e proxy digitali. Nato come gruppo hacktivista filorusso con obiettivi dichiaratamente politici — attacchi ai governi di dieci paesi, tra cui USA e Regno Unito — si è progressivamente trasformato in un’operazione di cybercrimine a pagamento, dove il profitto ha sostituito l’ideologia come motivazione principale. È il ciclo di vita naturale di questi gruppi: nascono come armi della propaganda, vengono alimentati dalla retorica patriottica, e finiscono per scoprire che il crimine informatico paga meglio della fedeltà alla bandiera. Ma anche nella loro fase “commerciale”, restano disponibili come proxy quando lo stato ha bisogno di negabilità plausibile — un attacco condotto da “hacktivisti indipendenti” non ha le stesse implicazioni diplomatiche di un’operazione militare ufficiale. Recentemente, hacker collegati alla Russia sono comparsi anche sul fronte cyber della guerra in Iran, confondendo ulteriormente le carte in un panorama già caotico. Il modello si sta replicando ovunque: hacker iraniani che conducono operazioni di ransomware travestendosi da cybercriminali comuni, gruppi cinesi che usano tattiche da criminali informatici per mascherare operazioni di spionaggio statale — la convergenza tra crimine e guerra nel cyberspazio è ormai completa.
Questa dinamica mette in crisi qualsiasi tentativo di governance del cyberspazio. Le convenzioni internazionali sulla guerra presuppongono che gli attacchi siano condotti da entità identificabili — eserciti, milizie, al limite mercenari sotto contratto — e che esistano confini tra combattenti e civili. Nella cyberguerra, queste distinzioni non hanno senso. Un adolescente con DDoSia installato sul PC è un combattente? Un router domestico compromesso dal GRU è un’infrastruttura militare legittima? Un acquedotto attaccato da hacker iraniani è un obiettivo civile protetto dalle Convenzioni di Ginevra? La risposta giuridica è che nessuno lo sa, e la risposta politica è che a nessuno importa. La convergenza tra Pentagono e Big Tech garantisce che i grandi attori continuino a sviluppare capacità offensive senza vincoli reali, mentre i paesi più piccoli si armano di proxy e volontari. Il risultato è un’escalation permanente dove tutti attaccano tutti, nessuno è responsabile di nulla, e le regole del diritto internazionale restano lettera morta nel cyberspazio come lo sono troppo spesso nel mondo fisico.
La verità che nessun rapporto ufficiale dirà mai con sufficiente chiarezza è questa: la cyberguerra non è un rischio futuro, è il presente in cui viviamo ogni giorno. È il router compromesso nella tua casa che qualche analista del GRU usa come trampolino per spiare un diplomatico europeo. È l’acquedotto della tua città che gira su software con falle note da anni perché nessuno ha il budget — o la volontà — di aggiornarlo. È la tua compagnia telefonica che non sa, o non vuole sapere, se i servizi segreti cinesi stanno ascoltando le tue chiamate. E la soluzione non verrà dagli stessi stati che conducono queste operazioni, né dalle stesse aziende che costruiscono sistemi deliberatamente insicuri per massimizzare i margini.
L’alternativa esiste, ed è dal basso. Reti mesh decentralizzate che nessun governo può spegnere o compromettere con un singolo attacco. Software libero e verificabile, non scatole nere proprietarie con backdoor inserite “per ragioni di sicurezza nazionale”. Self-hosting, crittografia end-to-end, infrastrutture comunitarie che rispondono alle persone che le usano — non ai governi che le vogliono spiare o ai generali che le vogliono sabotare. Ogni router che installi con firmware open source è un pezzo di internet sottratto al controllo militare. Ogni servizio che ospiti sulla tua macchina anziché sul cloud di Amazon o Microsoft è un bersaglio in meno per il prossimo Salt Typhoon. La cyberguerra è il sintomo terminale di un’infrastruttura digitale costruita per il controllo centralizzato anziché per la resilienza distribuita. Finché non cambieremo le fondamenta, continueremo a essere il campo di battaglia su cui gli stati giocano la loro partita. E noi, come sempre, a pagare il biglietto.