Il 28 aprile 2025, un “guasto” di natura e tipologia tutt’ora incognite, ha completamente interrotto i servizi elettrici e internet in Spagna, Portogallo e in alcune zone della Francia meridionale, paralizzando infrastrutture critiche e mettendo a nudo le vulnerabilità della rete energetica europea. Un evento senza precedenti, che ha bloccato i servizi essenziali, i sistemi di trasporto e innescato enormi perturbazioni economiche e sociali. Il briefing tecnico pubblicato il 28 aprile 2025 da ENTSO-E, l’associazione dei 40 gestori dei sistemi di trasmissione dell’energia elettrica di 36 Stati in tutta Europa – inclusi quelli extra Ue – ha descritto in dettaglio la disconnessione automatica della rete iberica dalla rete europea alle 12:38 CEST, come una misura di sicurezza per limitare la diffusione dell’interruzione ma che ha completamente isolato la Spagna.
Sulle cause dell’incidente sono emerse tantissime ipotesi e spiegazioni non ufficiali, ma la natura sincronizzata dell’interruzione in più regioni, unita alla sua rapida insorgenza, hanno alimentato l’ipotesi di un attacco coordinato all’infrastruttura energetica iberica.
Per questi motivi, tutte le Agenzie europee stanno svolgendo un’attenta analisi delle cause che hanno provocato questo blackout, con l’Istituto Nazionale Spagnolo per la Sicurezza Informatica (Incibe) ed il Centro Nazionale di Crittologia (CCN) che stanno indagando sulla possibilità si sia trattato di un atto di sabotaggio. L’ipotesi di un attacco cibernetico, oggetto di indagine, è supportata dall’inizio sincronizzato dell’interruzione e dall’impatto multisettoriale ed internazionale.
Attacchi informatici alle infrastrutture critiche e Psyops, per minare l’unità europea
Il Global Cybersecurity Outlook 2025 del World Economic Forum sottolinea che le reti energetiche sono obiettivi primari per gli attacchi informatici. Il rapporto ENISA del 2023 sulla sicurezza informatica dell’UE nel settore elettrico evidenzia che gli attacchi DDoS (Distributed Denial of Service) e i ransomware hanno preso di mira in misura crescente i gestori di rete europei, con un aumento del 30% degli incidenti tra il 2020 e il 2023, con oltre 1.200 incidenti segnalati nei 38 paesi. L’ENISA Threat Landscape report (ETL) di marzo 2025, documenta un aumento del 35% degli attacchi alla rete energetica globale. Un report del Center for Strategic & International Studies (CSIS) individua come principali obiettivi del cyberterrorismo i servizi di pubblica utilità, come ad esempio l’attacco del gennaio 2025 ai sistemi di trasporto italiani, che ha compromesso oltre 120.000 indirizzi IP.
Nel libro Comprendere la “Guerra Ibrida” descrivo come le minacce ibride, che combinano varie forme di sabotaggio informatico e fisico, operazioni di influenza psicologica delle percezioni e degli atteggiamenti di individui, gruppi e governi stranieri – Psychological Operations (Psyops) – sono diventate una strategia politica e militare di diversi attori statali, per destabilizzare le economie occidentali.
Dal punto di vista geopolitico, il blackout che ha colpito l’Europa occidentale solleva interrogativi sulla sicurezza delle nostre infrastrutture critiche, in particolare quelle energetiche, nel contesto delle crescenti tensioni globali. La postura internazionale della Spagna, sia dal punto di vista politico – per la sua decisa esposizione sui conflitti in Ucraina e Gaza, che geostrategico – come hub per i cavi sottomarini per la comunicazione digitale intercontinentale – la individuano come un potenziale bersaglio per attacchi informatici e sabotaggi sponsorizzati da Stati. Le recenti decisioni dagli elevati effetti geopolitici adottate dal governo del premier spagnolo Pedro Sanchez, come il finanziamento di 2 miliardi di Euro di aiuti militari all’Ucraina nel 2024, ed il riconoscimento formale dello Stato di Palestina, lo scorso 28 maggio 2024 – che Israele ha condannato definendolo come “un premio” per Hamas – hanno trasformato la Spagna in uno degli obiettivi principali, non solo per gli Stati dell’asse dell’autoritarismo ma anche per organizzazioni terroristiche, attori non statali e gruppi di hacktivisti contrari agli interessi europei.
Pur premettendo che, al momento non ci sono prove confermate (e forse non ci saranno mai) che il blackout sia stato un atto di sabotaggio, la tempistica che ha interrotto tutti i servizi elettrici e internet in Spagna mentre erano in corso i preparativi per il congresso del Partito Popolare Europeo a Valencia, ne ha certamente amplificato la visibilità politica, sia interna che internazionale.
La totale assenza di energia che ha fatto improvvisamente piombare nel Medioevo la Spagna e vasti territori in Portogallo e in alcune zone della Francia meridionale, rappresenta un ennesimo warning sulla fragilità delle infrastrutture strategiche europee, e per le contromisure da adottare in caso di incidenti e contro il cyberterrorismo.
Le dinamiche geopolitiche possono inquadrare il blackout iberico nel contesto delle tensioni internazionali
L’ecosistema cibernetico globale, il cosiddetto “Cyber Club”, del quale per capacità fanno parte esclusivamente 4 superpotenze – Stati Uniti, Cina, Israele e Russia – sta vedendo prosperare ai suoi confini anche altri Stati quali Iran, UAE, Corea del Nord, Pakistan, India, Kazakistan, Sudan, che utilizzano in maniera sempre più aggressiva proxy, gruppi hacker privati o organizzazioni criminali, apertamente o segretamente, per eseguire operazioni di spionaggio e attacchi informatici “plausibly deniable” (plausibilmente negabili). Le operazioni cyber di oggi si sono ulteriormente evolute, sono totalmente remote con un livello di sofisticazione inimmaginabile fino a qualche anno fa, ed il loro tasso di attribuzione è praticamente nullo.
Tra queste nazioni, analizziamo brevemente due “Cyber Power” che non fanno parte della Nato e nemmeno della Ue, che hanno una grande influenza nel bacino del Mediterraneo allargato, capacità SIGINT (COMINT, ELINT, TECHINT, MASINT) e tecnologiche per progettare “logic bombs” occultate in grado di sferrare cyber attacchi devastanti. Le bombe logiche sono file nascosti o pacchetti software di minime dimensioni che rimangono silenti e non hanno bisogno di comunicare, praticamente quasi impossibili da individuare. Una volta innescate, le bombe logiche possono essere estremamente distruttive ed in grado di mandare in tilt i sistemi di gestione di infrastrutture strategiche ed isolare nazioni intere, senza lasciare tracce.
Russia
La postura strategica della Spagna come membro della Nato e sostenitore delle sanzioni dell’Ue contro la Russia, aumenta la sua esposizione a minacce ibride, come evidenziato nel Rapporto sui rischi globali 2025 del WEF.
La Dottrina Militare della Federazione Russa, al punto 5, specifica che il conflitto è caratterizzato da:
- un alto grado di coinvolgimento e vulnerabilità della popolazione;
- l’uso di formazioni armate irregolari;
- l’ampio utilizzo di metodi di sabotaggio e di terrorismo…”
Sebbene non sia mai stato confermato il coinvolgimento diretto della Federazione Russa in un sabotaggio, proprio per la “negabilità” che caratterizza la nuova guerra ibrida, che utilizza proxy per attentati, cyber-attacchi, disinformazione, sabotaggi ed altre tattiche di “guerra invisibile”, alcuni recenti attacchi ad infrastrutture ed aziende occidentali che producono armamenti hanno fatto ulteriormente aumentare i sospetti contro Mosca. L’esplosione nell’impianto industriale di Mesko a Skarzysko Kamienna, nella parte sud-orientale della Polonia, che produceva vari tipi di munizioni per sistemi missilistici, potrebbe essere stato un atto di sabotaggio russo? Con la guerra cinetica in corso in Ucraina è difficilissimo distinguere tra attacchi e incidenti e praticamente impossibile attribuire azioni di sabotaggio, ma non sarebbe una sorpresa se i servizi segreti militari russi e le organizzazioni proxy ad essi collegate nel contesto delle operazioni attive in Europa, avessero a che fare con questi “incidenti” anomali. Come i danneggiamenti dei cavi sottomarini tranciati da navi della flotta fantasma russa, tra Finlandia ed Estonia. Sappiamo che l’uso delle proprie unità di intelligence militare per le attività di sabotaggio in Occidente viene utilizzato dalla leadership del Cremlino per azioni di guerra ibrida in Europa. Per questo Mosca considera ogni operazione “covert” o incidenti che possano essere assimilati a sabotaggi, sul territorio dei Paesi che sostengono l’Ucraina, indipendentemente dall’efficacia, come una vittoria tattica della sua strategia di influenza psicologica per intimidirne le opinioni pubbliche, destabilizzare la società e influenzare le politiche europee, attraverso la paura e l’insicurezza diffusa.
Il Journal of Strategic Studies (2025) osserva che il cyberterrorismo sponsorizzato dagli Stati prospera nelle regioni con tensioni diplomatiche, con il 70% degli attacchi del 2024-2025 sferrati contro membri della Nato. Al gruppo hacker “Sandworm”, facente parte dell’unità militare 74455 del GRU (servizio informazioni e intelligence russa), noto per aver causato dei blackout totali in Ucraina nel 2015 e nel 2016 e per le sue capacità di sferrare attacchi Advanced Persistent Threat (APT) su larga scala e di manipolazione dei sistemi SCADA, vengono attribuite interruzioni per 225.000 operatori, come dettagliato nelle IEEE Transactions on Information Forensics and Security (2025). Secondo la cronologia degli incidenti informatici significativi pubblicata dal CSIS ad aprile 2025, gruppi di hacker afferenti alla Russia emergono come i principali sospettati nel 40% degli attacchi mirati agli ICS nel 2024-2025.
Il blackout che il 28 aprile 2025 ha colpito contemporaneamente tre Paesi europei, indipendentemente dal fatto che sia stato causato da una catena di guasti tecnici, piuttosto che da una sofisticata azione di sabotaggio, evidenzia la fragilità degli ecosistemi energetici e digitali interconnessi europei, in un’epoca di crescenti tensioni e forme di guerra ibrida cibernetica. Gruppi come Sandworm, con elevata competenza in materia di sistemi di controllo industriale (ICS), e APT28 (Fancy Bear), un altro gruppo legato al GRU specializzato in spionaggio e nella raccolta di informazioni sulle vulnerabilità della rete europea, hanno motivazioni geopolitiche e rappresentano evidenti e plausibili minacce, che richiedono un cambio di paradigma nella tutela della sicurezza energetica europea.
Israele
Israele e i suoi servizi si sicurezza – il Mossad e lo Shin Bet – hanno una lunga storia di clamorose azioni con cui hanno colpito i propri nemici con una varietà incredibile di mezzi. il Mossad dispone di un segretissimo reparto hacker che, analogamente a quello dell’Unità 8100, prende di mira le comunicazioni e i dati di singole persone o organizzazioni. Il Mossad intrattiene relazioni con alcuni hacker esterni ai quali appalta molteplici operazioni, così da mantenere la necessaria separazione tra la propria organizzazione e i bersagli colpiti. Di recente il Mossad ha creato un fondo d’investimento sulla falsariga di In-Q-Tel, il braccio finanziario della Cia nella Silicon Valley.
L’azione del 17 settembre 2024, che ha fatto esplodere in simultanea ricetrasmittenti, beeper, radioline e cellulari dei membri di Hezbollah, ha rappresentato un cambio di paradigma nella capacità di inviare messaggi silenziosi che innescano attacchi a livello di firmware, un’evoluzione strategica delle capacità della guerra informatica, che ha consentito di colpire con precisione obiettivi militari specifici senza bisogno di infiltrazioni fisiche. Racchiudere quell’attacco in uno schema di “network warfare”, guerra asimmetrica piuttosto che cibernetica ne limiterebbe il valore strategico che rappresenta per Israele, per coefficiente di difficoltà e spettacolarità di uno dei più eclatanti colpi messi a segno dai Servizi di sicurezza nella storia.
Un messaggio che la longa manus del Mossad è tornata a colpire con i modi che avevano stupito il mondo negli scorsi decenni e contribuito a fortificare l’aura di imbattibilità dello Stato ebraico. Imprevedibilità, capacità di ingannare, utilizzare le tecnologie come arma invisibile per attaccare, sono forme di guerra ibrida che Gerusalemme ha messo in campo dopo lo scacco subito da Hamas il 7 ottobre 2023.
L’uso delle infrastrutture di telecomunicazione nella guerra informatica non è un fenomeno nuovo per Israele. Nel 2010, il virus Stuxnet, sviluppato dalle agenzie di intelligence Usa e israeliane, è stato utilizzato per sabotare il programma di arricchimento nucleare iraniano, manipolando i sistemi di controllo industriali attraverso un principio simile di infiltrazione nel processo produttivo tecnologico. Stuxnet ha impartito comandi alle centrifughe iraniane, facendole andare fuori controllo fino ad implodere, mentre il sistema non rivelava alcun malfunzionamento e riportava operazioni normali. Tuttavia, le esplosioni dei pager, walkie-talkie, smartphone, laptops, pannelli solari ed altri device, segnano una svolta epocale nell’uso delle reti di telecomunicazione per le operazioni segrete di sabotaggio, guerra elettronica e danneggiamento di dispositivi e reti, oltre che eliminazione di obiettivi nemici. Quelle che un tempo erano considerate tecnologie sicure, si sono dimostrate vulnerabili ad attacchi sofisticati che sfruttano come micidiale arma di guerra la stessa infrastruttura progettata per supportare le reti energetiche e le telecomunicazioni.
Attori non statali o gruppi di hacktivisti
Anche gli attori non statali emergenti meritano attenzione. Il Journal of Cybersecurity (2024) sottolinea che gli attacchi informatici alle infrastrutture energetiche mirano spesso a destabilizzare le economie, interrompere i servizi pubblici o segnalare un potere geopolitico. Il panorama globale del cyberterrorismo contemporaneo si è evoluto, e molti gruppi hacker sono in grado di attuare sofisticate matrici di attacchi mirati alle infrastrutture critiche, sfruttando framework malware modulari che consentono hacking simultanei a sistemi diversi, in grado di porre minacce avanzate. La rivista Computers & Security (2024) osserva che gruppi come Anonymous hanno preso di mira infrastrutture governative e aziendali, sebbene le loro tipologie di hacking si concentrino in genere su attacchi DDoS o esfiltrazione di dati, piuttosto che su interruzioni fisiche. Organizzazioni criminali che utilizzano ransomware, hanno sempre più preso di mira infrastrutture critiche, come si è visto nell’attacco al Colonial Pipeline del 2021, che ha interrotto le forniture di carburante negli Stati Uniti. Tuttavia, le caratteristiche del blackout iberico – interruzione simultanea in più Paesi, rapida insorgenza e attacco a infrastrutture strategiche – sarebbero in linea con i tratti distintivi di un attacco informatico molto sofisticato. Probabilmente, attori non statali, come collettivi di hacktivisti o organizzazioni criminali, rappresentano uno scenario meno probabile, anche se possibile.
IN ATTESA DELLE INDAGINI
In assenza di prove forensi, attribuire il blackout iberico del 2025 a un fattore specifico rimane prematuro, sebbene l’ipotesi di un guasto tecnico sia la più probabile, al momento non si può definitivamente escludere un attacco informatico, considerando: precedenti storici e statistici, contesto e motivazioni geopolitiche, ampiezza e tempistiche dell’interruzione.
Gli attacchi hacker contro Colonial Pipeline, SolarWinds Corps e tutti quelli subiti da aziende ed organizzazioni occidentali, mai denunciati per evitare ulteriori ripercussioni economiche e di immagine, dimostrano come sia possibile sconvolgere la vita normale di milioni di cittadini attraverso una guerra invisibile, solo apparentemente meno cruenta ma dagli effetti devastanti. Come evidenziato dalle Agenzie di intelligence statunitensi, la cyber warfare, il cyber crime ed il cyber terrorism condividono una base tecnologica, strumenti, logistica e metodi operativi comuni. Agli hackers, ormai arruolati alla stregua di “guerrieri cibernetici”, il crimine informatico ed il terrorismo possono offrire la base tecnica (strumenti software e supporto logistico) e la motivazione per eseguire attacchi alle reti informatiche di infrastrutture, aziende e nazioni. Pertanto, alle fonti dei cyber attacchi si può più facilmente attribuirne un’origine ed una motivazione criminale o terroristica, piuttosto che statale.
La nuova frontiera della guerra ibrida globale in corso nel “Quinto dominio” ha trasformato tecnologie e device apparentemente friendly, in armi dual-use. Tutte le reti ed i dispositivi di uso comune, che oggi sembrano assolutamente innocui, possono trasformarsi in un vero e proprio incubo, solo apparentemente frutto della fantasia di un romanzo di fantascienza. Le Forze armate dei vari Paesi continuano a sviluppare nuovi metodi di guerra informatica, che sfruttando le vulnerabilità delle infrastrutture strategiche, consentono di condurre operazioni segrete, sferrare attacchi di precisione a bersagli specifici, senza lasciare tracce che permettano di percepire le manomissioni operate, creando il caos, senza mai mettere piede sul suolo straniero.
L’assenza di consapevolezza del rischio cibernetico
Per le democrazie occidentali, continuare ad affidarsi ed utilizzare sistemi, sensoristica e dispositivi informatici forniti da competitor strategici e regimi autoritari, senza alcuna considerazione delle ripercussioni in termini di sicurezza nazionale, soprattutto in settori di alta tecnologia, è estremamente controproducente e pericoloso. È fondamentale che gli Stati europei ed i gestori di infrastrutture critiche nazionali riconoscano le vulnerabilità insite nei sistemi, nelle reti e nelle procedure di comunicazione, poiché il confine tra guerra fisica e digitale continua a sfumare, bisogna elevare la capacità di proteggere le infrastrutture strategiche dagli attacchi informatici, una missione sempre più complessa per quanti devono garantire la sicurezza nazionale.
Come stiamo constatando con il dibattito in corso sulla politica di sicurezza e di difesa comune (PSDC) e su come affrontare insieme i conflitti e le crisi, proteggere l’Unione europea e i suoi cittadini e rafforzare la pace, la maggior parte dei decisori politici e dei funzionari governativi italiani non sembra siano consapevoli o comunque sufficientemente informati sugli attuali rischi alla nostra sicurezza nazionale. Rischi e minacce che evidenziano l’assoluta necessità di investimenti e politiche di difesa e sicurezza europee integrate.
Temi che saranno all’ordine del giorno del Consiglio Supremo di Difesa della Repubblica, che il presidente Sergio Mattarella ha convocato giovedì 8 maggio 2025.
