Il 17 novembre 2025, in un documento informale di 129 pagine presentato al Consiglio Supremo di Difesa, il ministro della Difesa Guido Crosetto ha iniziato a dare forma a una strategia italiana contro la guerra ibrida. Una minaccia che avanza soprattutto attraverso il cyberspazio, che per l’Italia rappresenta uno dei versanti più scoperti.
Per questo l’ambizione del ministro è quella della creazione di un esercito cyber civile-militare da circa 1.500 persone attivo 24 ore su 24, parte di una riforma delle forze armate affrontata anche da un ddl presentato lo scorso settembre in Parlamento, nella logica di unificare la capacità di resilienza italiana alle minacce cibernetiche.
Annita Sciacovelli, docente di diritto internazionale e cybersecurity specialist, ma anche consulente di sicurezza per le istituzioni italiane, spiega che il cyberspazio è l’abilitatore fondamentale della guerra ibrida. E che la creazione di una postura di “difesa proattiva” sarebbe un punto di svolta epocale per la sicurezza italiana.
“Immaginiamo se venisse lanciato un attacco cyber al sistema bancario. Quali sarebbero le conseguenze immediate?”. La professoressa fa l’esempio francese, rispetto a cui la posizione dell’Italia è sicuramente più cauta. Parigi “ritiene che un attacco alla Borsa valori possa essere considerato al pari di un attacco armato”. Una definizione che ha una potentissima “funzione deterrente”, ma che vincola molto le risposte a un attacco reale.
Ma posto che “l’attacco ha sempre il vantaggio sulla difesa”, nell’era della guerra ibrida quanto è difficile mettere assieme un esercito cyber che sia in grado di contrastare le minacce più insidiose? Nel settore della cybersecurity la competizione per i talenti è spietata.
Sciacovelli evidenzia come il Regno Unito, “nella propria strategia, abbia deciso di inserire anche una serie di benefit economici per poter superare quella che era la concorrenza del settore privato”.
Secondo i rapporti di settore l’Italia è uno degli obiettivi preferiti dagli attacchi cibernetici mondiali. La difesa di aziende e tecnologie strategiche poggia su un’architettura complessa: all’Acn, l’Agenzia di cybersicurezza nazionale, è affidata la resilienza civile e della strategia nazionale, il COR (Comando Operazioni in Rete) gestisce la dimensione militare e la ‘difesa attiva’, mentre la Polizia Postale, contrasta al crimine informatico. Il problema è attirare abbastanza tecnici senza i quali, spiega la professoressa, anche la “postura più proattiva” rischia di restare lettera morta.
Può essere una via percorribile, allora, quella di delegare la difesa ai giganti del tech? Secondo Sciacovelli no.
Il caso dell’Albania, che nel settembre 2022 ha subito un grave attacco da soggetti iraniani, è emblematico. In quel caso gestire l’identificazione dei responsabili furono aziende private. Questo scenario solleva un interrogativo cruciale, secondo la professoressa: “Quando l’attività di attribuzione è fatta da un’azienda, da una multinazionale, si rischia di affidare a entità private, non soggette a controllo democratico, poteri quasi statali”.
Eppure, a fronte della necessità di rispondere con velocità alle minacce, il ruolo preponderante delle società tecnologiche sembra ineludibile. Perlomeno negli Usa.
L’America di Donald Trump ha recentemente pensato addirittura di usare le sue Big Tech per scopi offensivi, secondo quanto riportato dal New York Times a gennaio e da altre fonti di stampa nei mesi precedenti.
L’ipotesi per ora non si è effettivamente concretizzata, ma tutto lascia pensare che non sia stata neanche abbandonata.
A inizio marzo l’amministrazione Trump ha pubblicato la sua attesa strategia cyber, dove il ruolo del settore privato viene comunque esaltato. Si legge che gli Stati Uniti “scateneranno il settore privato creando incentivi per identificare e bloccare le reti avversarie e scalare le nostre capacità nazionali”.
Cambiare la legge per consentire alle aziende private di eseguire attacchi informatici offensivi richiederebbe l’approvazione del Congresso americano, dove sono arrivate diverse proposte in tal senso in passato, ed è proprio a Capitol Hill che la discussione ha assunto sfumature ancora più complesse – e in alcuni casi quasi surreali. Tra queste c’è quella di ripescare dall’epoca della guerra civile americana le Letters of Marque, che venivano usate per consentire ai privati cittadini di agire contro le navi nemiche. Una logica simile verrebbe applicata alle attuali aziende tecnologiche americane che, tra le altre cose, potrebbero avere la possibilità di rispondere direttamente agli attacchi hacker subiti.
Il tallone d’Achille strategico dell’Italia è strutturale: “Il nodo che noi abbiamo è soprattutto il fatto di non essere leader nella produzione di hardware, di software e di intelligenza artificiale”, dice Sciacovelli. Questa dipendenza da colossi esteri ptroebbe rappresentare una falla critica per la sicurezza nazionale, con l’esposizione al rischio di “backdoor” nascoste. Senza contare il dilemma di lasciare l’interruttore di una risorsa strategica in mano a un Ceo straniero: Elon Musk ha fornito Starlink nell’area del conflitto Russia-Ucraina e ha poi limitato l’accesso per impedire attacchi di droni. Di fatto, un attore geopolitico autonomo.
Anche se un ruolo delle aziende private nella cyber difesa è ineludibile, dobbiamo “essere consapevoli di quanto sarebbe grande il dilemma che si solleverebbe”, dice la professoressa. C’è però una risorsa che per l’Italia può essere fondamentale: il ruolo delle aziende di Stato. “Dobbiamo necessariamente fare ecosistema con le partecipate, non c’è altra alternativa”, dice la professoressa, che sulla ‘reazione’ alle minacce informatiche sottolinea il ruolo della diplomazia.
Se prevenire ogni attacco è un’utopia, la parola d’ordine diventa resilienza: pianificare come rialzarsi dopo il colpo. L’Europa sta alzando l’asticella con normative come il Cyber Resilience Act (che si applicherà pienamente da fine 2027) che imporrà ai produttori standard di sicurezza stringenti. “È una garanzia molto importante”, sottolinea la professoressa, perché permetterà alle aziende di rivalersi sui fornitori di software che non abbiano garantito i requisiti minimi e gli aggiornamenti di cybersicurezza.
In questo scenario, assume un ruolo cruciale la cyber diplomacy, su cui l’Italia, che ha la presidenza di turno della Commissione disarmo presso le Nazioni Unite, lavora molto. Tra le pratiche più preziose, proposte in sede Onu, c’è quella “dei point of contact 24/7” tra gli Stati, un “telefono rosso” del 21esimo secolo sul modello di quello Usa-Urss della Guerra Fredda per evitare un’escalation incontrollata. Tra le altre iniziative c’è anche l’adesione degli Stati membri a di un codice di condotta volontario relativo al diritto internazionale applicabile al cyber spazio.
Mentre si cerca di mettere in sicurezza il presente, il futuro è già qui. La prima minaccia è l’intelligenza artificiale offensiva affidata agli agenti autonomi. “Entro due o tre anni” saranno la norma, avverte Sciacovelli. Se non ci si dota di sistemi di difesa basati anch’essi sull’AI, sarà impossibile resistere.
Ancora più radicale è la minaccia del computer quantistico, tecnologia che potrebbe rendere obsoleta tutta la crittografia attuale. Gli “attori ostili nel cyberspazio stanno già raccogliendo i nostri dati per poi decrittarli successivamente”, quando avranno la potenza di calcolo necessaria. In questa guerra invisibile, la vera sfida non è solo tecnologica, ma strategica e culturale, e richiede una risposta che coinvolga Stato, aziende e società civile. Perché, conclude la professoressa, “il computer e il telefonino hanno dei codici d’accesso. Ma la nostra società è senza password”.
