Prima di iniziare, una premessa doverosa. Con Giancarlo Calzetta ci conosciamo da trent’anni. Quando qualche anno fa mi ha proposto di collaborare con Security Info, ho accettato più per curiosità che per competenza. Poi il tema mi ha preso e se oggi TechTalking dedica spazio alla sicurezza informatica, è anche merito suo.
È proprio questo pregresso ad avermi spinto a intervistarlo: negli ultimi mesi ho visto moltiplicarsi episodi (blackout, intrusioni, infrastrutture sotto attacco) che mi hanno fatto suonare più di un campanello d’allarme. Avevo bisogno di capire e ho pensato di rivolgermi a chi, in Italia, è considerato uno dei massimi esperti in materia.
Un clic. A volte basta solo quello.
Il 28 aprile 2025, nel giro di pochi minuti, la penisola iberica si è ritrovata al buio. Fabbriche ferme, semafori spenti, linee ferroviarie in tilt. Mentre gli ingegneri cercavano di capire cosa fosse successo, qualcuno si è chiesto se non ci fosse stata la mano invisibile di un attacco informatico. Le autorità hanno poi parlato di “guasto tecnico” ma il dubbio è rimasto.
Nei mesi successivi, casi simili si sono moltiplicati: in Svezia, dove la rete elettrica è stata violata; negli Stati Uniti, dove gli hacker cinesi del gruppo Volt Typhoon si sono infiltrati nelle reti di energia e telecomunicazione; e in Europa, dove un ransomware ha mandato in tilt i sistemi di check-in di diversi aeroporti, da Londra a Bruxelles, da Berlino a Madrid.
A questi si è aggiunto il caso di F5, gigante americano della sicurezza digitale i cui sistemi sono utilizzati da banche, provider telefonici e utility in tutto il mondo. Un bersaglio “trasversale”, che collega settori diversi ma strategici, e che mostra quanto sottile sia il confine tra chi difende e chi, a sua volta, può essere violato.
Sono episodi apparentemente slegati, che però sembrano tracciare un disegno sempre più chiaro. Oggi gli obiettivi degli hacker non sono più solo le aziende o gli ospedali ma le infrastrutture vitali di una nazione: energia, finanza, telecomunicazioni, logistica e trasporti. Quelle che, se si fermano, spengono un Paese.
La domanda sorge allora spontanea: sono le prime avvisaglie della guerra del futuro? Gli attacchi che osserviamo, spesso raccontati come “incidenti isolati”, sembrano in realtà dei test di resistenza, esercitazioni occulte per capire come e dove un Paese può essere spento. Preparativi, forse, di un conflitto che non avrà bisogno di missili o carri armati, ma di un clic al momento giusto.
Se un giorno qualcuno decidesse davvero di “premere quel bottone”, potremmo difenderci? Ne parliamo con Giancarlo Calzetta, direttore di Security Info, tra i massimi esperti italiani di sicurezza informatica.
L’anno scorso il blackout tra Spagna e Francia ha paralizzato un’intera regione. Poi c’è stata la violazione della rete elettrica in Svezia e infine il caos negli aeroporti europei per un attacco a un fornitore IT. Quanto sono sicure le infrastrutture strategiche occidentali agli attacchi informatici?
Da quello che vedo, la sicurezza nelle infrastrutture è a macchia di leopardo. Ci sono settori molto più avanti di altri, ma questi cambiano a seconda della collocazione geografica e, in realtà, anche all’interno del settore stesso. In generale, la sicurezza informatica è ancora scarsa. Ci sono troppe vulnerabilità disseminate in hardware e software che vengono usati ovunque.
Il comparto dell’IoT [Internet of Things, l’insieme dei dispositivi connessi a internet che raccolgono e scambiano dati, ndr], per esempio, è molto indietro, e tieni presente che quando si parla di IoT non stiamo tirando in ballo solo termostati, tapparelle, serrature, ma stiamo parlando di treni, flotte di automobili, autobus, porti, aeroporti e così via.
Abbiamo visto quanto sia “fragile” il trasporto aereo con i ripetuti attacchi a Londra, dove la commistione tra attacco fisico, indiretto (bastava far alzare un drone) e informatico, ha creato parecchi grattacapi. Una contro-domanda interessante è “quanto sono sicure le infrastrutture ‘nemiche’”? La risposta è ben celata ma i segnali indicano che anche da quella parte non si è messi bene.
Negli Stati Uniti, il gruppo cinese Volt Typhoon si era già infiltrato nelle reti di energia e telecomunicazione, mentre i russi di Sandworm hanno colpito la supply chain elettrica europea. Stiamo assistendo ai preparativi delle guerre del futuro?
No, non è la guerra del futuro, è la guerra di oggi e l’elettricità è solo uno dei settori presi di mira. Tutti quelli storicamente strategici durante un conflitto armato sono nel mirino. Non a caso, l’Europa cerca di prendere provvedimenti tramite le direttive NIS 2, DORA, CRA e così via. Inoltre, il confine tra guerra tra Stati e guerra contro il crimine informatico organizzato è molto labile. A volte, le due cosa si sovrappongono, altre viaggiano in parallelo.
Con la Russia in questo periodo vediamo entrambe le facce di questa medaglia. Nel primo caso, con i ransomware portati a segno da gruppi come APT47 o Turla per recuperare denaro; nel secondo con il non intervento nei confronti dei gruppi criminali che sottraggono risorse ad aziende del blocco politico avverso.
Il prossimo passo a cui assisteremo sarà la raffinazione degli attacchi portati tramite agenti AI. Al momento sono banali e prevedibili (ma comunque vanno a segno in quasi il 10% dei casi), in futuro sono destinati a migliorare velocemente. Speriamo che lo facciano anche le difese.
In questo scenario, il confine tra hacker e soldati sembra essersi dissolto, non a caso oggi parliamo di hacker di Stato, unità che rispondono direttamente ai governi od operano come loro braccio occulto. Come si muovono questi gruppi e quanto sono avanti rispetto ai “normali” criminali informatici?
Il loro modo di agire è molto diverso da quello dei criminali e molto più ampio. Il motivo che muove un gruppo criminale è solo uno: i soldi. Gli APT [Advanced Persistent Threat, gruppi hacker organizzati che conducono attacchi sofisticati e prolungati nel tempo, ndr] vogliono solo guadagnare denaro e sono organizzati come aziende altamente efficienti.
Se spendono troppo senza risultati, l’attacco viene abbandonato e si passa al bersaglio successivo. Se il costo supera il probabile beneficio, accade lo stesso. I criminali arrivano ad avere competenze molto elevate ma le focalizzano in maniera ristretta: fare soldi.
I militari, invece, sono dipendenti statali (letteralmente) e servono lo Stato. Hanno a disposizione budget molto più ampi e vanno avanti con le operazioni strategiche fino a quando non hanno successo, tentando tutte le vie a cui riescono a pensare.
Le competenze sono molto alte e spesso gli Stati hanno gruppi diversi specializzati in operazioni particolari: fare spionaggio è una cosa diversa dal fare sabotaggio; attaccare una nave è molto diverso da attaccare un’azienda che fa ricerca deep-science; fare rappresaglia per un attacco subito è un altro mestiere ancora. Uno Stato punta ad avere competenze su tutto, i criminali no.
Quali sono le nazioni più attive in tal senso e in cosa si differenziano gli hacker di Stato cinesi rispetto a quelli russi o iraniani?
Come detto, i gruppi statali seguono gli scopi della nazione per cui lavorano. La Cina ha spinto molto forte sul furto di proprietà intellettuali in passato e continua a farlo. L’infiltrazione molto spinta (ma molto spinta) è uno dei punti essenziali della politica cyber cinese.
Basti pensare a quanti software made in China stiamo inserendo nelle nostre vite: firmware di ogni tipo di oggetto che possono fungere da “porta d’ingresso” per gli hacker di Stato, dispositivi che si possono bloccare in remoto, storage che può essere spento con un clic da Pechino. Tutto quello che può garantire un vantaggio competitivo e militare è preso in considerazione e, probabilmente, già in atto.
Quelli russi sono molto concentrati sulle operazioni cyber di guerra in Ucraina, ma diversi sottogruppi sono impegnati a “sottrarre” risorse ad aziende e Stati avversari, distogliendo risorse dal supporto all’Ucraina. Gli Iraniani sono per lo più interessati a compiere atti dimostrativi, soprattutto (credo) in virtù del fatto che i loro nemici storici sono molto avanti per quello che riguarda la cyberguerra. Basta guardare cos’è successo durante l’attacco israeliano all’Iran.
I loro attacchi non mirano solo a fare soldi; sembrano invece testare la capacità di un Paese di restare in piedi. Se un domani un gruppo hacker di Stato ci “spegnesse” l’elettricità, le banche e la telefonia, la guerra non sarebbe già vinta senza sparare un colpo?
Qui dovrebbe risponderti un esperto militare, più che uno di cybersecurity, ma dal mio canto posso dirti che mettere offline TUTTO in un colpo solo è estremamente difficile. NIS 2 e CRA stanno facendo molto perché le infrastrutture creino un livello di resilienza “decoroso”.
Il percorso è sicuramente lungo ma l’ipotesi del “senza sparare un colpo” è secondo me molto lontana. Finora vediamo che di colpi se ne sparano senza parsimonia e in grande abbondanza.
Casi come quello di F5, che fornisce servizi a banche, provider telefonici e aziende energetiche, mostrano quanto sia fragile la nostra catena. Se un solo anello cede, crolla tutto. È qui che risiede la nostra vera vulnerabilità?
Gli attacchi alle supply chain sono da tempo identificati tra i più critici per qualsiasi settore. Ci sono migliaia di esempi specifici e alcuni su scala globale, che dimostrano quanto sia difficile proteggersi da chi vediamo come un partner.
L’attacco a SolarWind, per dirne una, ha generato così tante vulnerabilità e possibilità di attacco che chi lo ha portato a segno dopo pochi giorni ha iniziato a vendere la possibilità di sfruttarlo ad altri gruppi di criminali, perché non avevano abbastanza gente per approfittare neanche di una minima parte delle possibilità.
Quando ci saranno agenti AI in grado di supportare in maniera efficace gli attaccanti, questo non accadrà più: se arriverà un attacco globale, verrà sfruttato su scala globale. A meno che le contromisure non crescano in maniera adeguata.
Se gli attaccanti riescono a violare perfino chi dovrebbe difenderci (aziende di sicurezza, agenzie governative), cosa succederebbe il giorno in cui decidessero di passare dall’infiltrazione al sabotaggio? Cosa si sta facendo per scongiurare questo pericolo?
Le aziende di sicurezza sono ovviamente nel mirino di tutti, soprattutto degli hacker di Stato, perché hanno un accesso privilegiato a tutte le infrastrutture interne delle aziende, agenzie e infrastrutture che proteggono. Il fatto che a volte anche loro vengano bucate ci racconta bene quanto sia difficile contrastare gli attacchi informatici condotti da gente competente. Se qualcuno, un giorno, volesse passare dallo spionaggio al sabotaggio, non sarebbe una sorpresa perché si tratterebbe di un atto di guerra.
Quello che è successo tra Israele e Hamas e tra Israele e Iran, è proprio questo. In Europa si stanno creando regolamenti, infrastrutture e framework per rafforzare le difese e creare procedure di difesa. Il concetto non è quello di creare difese digitali impenetrabili ma di creare difese in grado di reagire quando saranno violate.
Gli esperti parlano di “pre-posizionamento”: hacker dormienti dentro le reti critiche, pronti ad attivarsi in caso di crisi. È una teoria complottista o una realtà che preferiamo non vedere?
Un amico hacker molto famoso mi ha raccontato qualche anno fa che era stufo di dover cacciare dalla rete di una famosa Telco gli hacker di Stato americani ogni due settimane… interpreta tu cosa vuol dire questa cosa.
L’intelligenza artificiale sta entrando in questa partita: automatizza gli attacchi, genera codice malevolo e persino campagne di phishing indistinguibili da quelle umane. Quanto può cambiare gli equilibri di potere tra Stati e cyber-milizie?
Ne abbiamo parlato già in precedenza. Il vero problema dell’IA non è che può generare mail di phishing credibili. È che può fornire “manovalanza” ad alta velocità agli attaccanti. Quello che deve preoccuparci non è la quantità di attacchi da affrontare, ma la loro qualità.
Se oggi a un’infiltrazione seguono giorni di operato umano per analizzare la rete, cercare le risorse interessanti, identificare ed evadere le protezioni e scovare un modo per esfiltrare le informazioni, domani questo potrebbe esser fatto in due ore da un agente. Neanche il tempo di rilevare l’attacco e leggere la notifica di investigazione necessaria, che tutto sarebbe finito.
Il CTO di una famosa azienda specializzata in sicurezza ha detto: “Storicamente parlando, ogni volta che si è messo un esercito di robot a fare il lavoro di un esercito di uomini, l’esercito di robot ha vinto”. Ecco a cosa ci troviamo davanti: arriverà un esercito di robot AI che dovranno essere combattuti con robot AI.
Ma vale anche il contrario: se Russia e Cina si infilano nei nostri sistemi, non è plausibile che anche noi facciamo lo stesso con i loro, solo che non lo diciamo? È una guerra silenziosa ma reciproca?
Certamente. Noi abbiamo scarsa visibilità degli attacchi portati da Occidente a Oriente per diversi motivi: dalla scarsa trasparenza dei governi coinvolti alla banale barriera linguistica. La cyberguerra, comunque, è bidirezionale anche se non completamente simmetrica, dato che le forze cyber in ballo variano molto a seconda degli Stati coinvolti.
C’è però una differenza: noi rendiamo pubblici gli attacchi, loro (se ci sono) li censurano. Questa trasparenza può diventare una debolezza? Stiamo mostrando troppo le nostre vulnerabilità?
Non credo. Chi ha portato a termine un attacco sa che è successo e sa cosa ne ha ottenuto senza necessità di comunicazioni. E nel sottobosco le notizie volano.
Nella guerra digitale non si attaccano solo reti e infrastrutture, ma anche la percezione pubblica: fake news, deepfake, disinformazione. Quanto pesa la componente psicologica in questa nuova forma di conflitto?
Ti dico solo che, secondo me, Trump è dove si trova grazie alla Russia. Alla luce di questa ipotesi, quanto pesano le operazioni di disinformazione?
Negli Stati Uniti, l’amministrazione Trump ha ridimensionato la CISA e tagliato personale, indebolendo di fatto la figura del CISO federale. Che segnale è, in un momento come questo? E in Europa, siamo più solidi o altrettanto esposti?
Da questo punto di vista, l’Europa ha iniziato ad agire molto più tardi degli USA e stiamo spingendo molto a livello normativo e infrastrutturale. La situazione sta migliorando anche se oltreoceano c’è chi rema contro.
In definitiva, se una potenza ostile decidesse di “premere il bottone”, potremmo reagire? Come si vincono le guerre cyber?
Mi stai sopravvalutando. 😀
In conclusione, che cosa dovrebbe cambiare (politicamente, culturalmente, tecnicamente) per evitare di trovarci impreparati il giorno in cui qualcuno decidesse davvero di “spegnerci”?
Ad ogni domanda complessa esiste una risposta semplice, solo che è sbagliata. La sicurezza informatica non può essere vista come un argomento singolo da affrontare con una lista della spesa. Servono sempre e solo due cose: tecnologia e procedure, ma nessuna di queste due è facile da implementare in maniera organica.
Già solo mettere in sicurezza una supply chain è un lavoro enorme, figuriamoci farlo per tutto un continente. Quello che serve è la consapevolezza che la sicurezza informatica non è che un tassello della sicurezza a tutto tondo e che la resilienza dev’essere il vero obiettivo di tutti.
Questo si ottiene incrociando TUTTE le operazioni aziendali, governative e delle varie entità che compongono la forza lavoro di una nazione, per arrivare a una visione d’insieme. La guerra non si combatte coi computer, si combatte anche con i computer. Ma le invasioni si fanno ancora sulla terra, come cinquemila anni fa sulle sponde dell’Eufrate.
