Guerre invisibili, come la cybersecurity sta ridisegnando gli equilibri geopolitici globali

Il conflitto tra Stati non si gioca più soltanto sui campi di battaglia fisici, ma sempre più spesso tra le righe di codice, nei data center, nelle infrastrutture critiche digitali. Le guerre invisibili, combattute nel cyberspazio, sono oggi un asset strategico per la politica internazionale, una leva di potere capace di destabilizzare governi, economie e sistemi democratici senza che venga sparato un solo colpo.

La cybersecurity, un tempo relegata al mondo IT, è oggi al centro della dottrina militare, della diplomazia, del commercio internazionale e delle relazioni multilaterali. La cyberwarfare è diventata una componente regolare dei conflitti ibridi, mentre sabotaggi digitali, campagne di disinformazione e spionaggio statale ridefiniscono la sicurezza globale.

Il cyberspazio come quinto dominio strategico

La nascita del cyberspazio come dominio operativo

Per decenni, le operazioni militari si sono svolte in quattro domini fisici: terra, mare, aria e spazio. Tuttavia, con l’avvento dell’era digitale e la crescente interdipendenza globale dei sistemi informatici, si è imposto un nuovo ambiente operativo: il cyberspazio.

Nel 2016, il Vertice NATO di Varsavia ha riconosciuto ufficialmente il cyberspazio come il quinto dominio strategico, stabilendo che un attacco cyber significativo può attivare l’articolo 5 del Trattato di Washington, cioè la difesa collettiva. Questa decisione ha avuto un impatto strutturale sulla pianificazione della sicurezza transatlantica e ha consolidato la militarizzazione della dimensione digitale.

Definizione operativa del cyberspazio

Il cyberspazio è definito come un dominio composto da:

• Strutture fisiche (cavi sottomarini, server, data center)
• Infrastrutture logiche (protocolli, software, standard crittografici)
• Informazioni (dati e metadati)
• Utenti interconnessi (attori umani e macchine intelligenti)

A differenza degli altri domini, il cyberspazio è globale, decentralizzato, dinamico e artificialmente costruito, il che lo rende più difficile da regolamentare e da difendere.

Perché il cyberspazio è strategico per la sicurezza nazionale

Il cyberspazio si è trasformato, nel corso dell’ultimo decennio, in una dimensione cruciale per la stabilità e la sicurezza nazionale. La sua centralità deriva da una serie di caratteristiche strutturali e funzionali che ne fanno un ambiente di conflitto del tutto peculiare e, per certi versi, inedito rispetto ai domini tradizionali della guerra e della diplomazia. Vediamone i motivi principali.

Una società sempre più dipendente dal digitale

Le moderne società industriali e post-industriali si basano su infrastrutture digitali pervasive e interconnesse. Dai sistemi di comando e controllo delle forze armate alla gestione degli ospedali, dai circuiti bancari internazionali alle reti elettriche e idriche, tutto è gestito attraverso piattaforme digitali. Di conseguenza, ogni malfunzionamento, vulnerabilità o interruzione operativa può paralizzare funzioni vitali dello Stato, con ripercussioni che vanno ben oltre il danno tecnico, toccando la continuità istituzionale, l’ordine pubblico e la fiducia dei cittadini.

Un dominio senza confini geografici

A differenza dei tradizionali spazi di confronto geopolitico, il cyberspazio non è delimitato da confini fisici, né è soggetto a sovranità territoriale diretta. I cyberattacchi possono partire da qualunque parte del mondo e raggiungere simultaneamente bersagli in decine di Paesi diversi, eludendo giurisdizioni e rallentando le risposte. Questo carattere transnazionale e ubiquo rende estremamente complessa la gestione operativa degli incidenti e sfida i meccanismi normativi internazionali, ancora ancorati a categorie geografiche e nazionali.

Una nuova asimmetria strategica

Nel dominio cibernetico, la forza non è necessariamente proporzionale alle risorse di uno Stato. Attori minori, oppure gruppi non statali come cybercriminali, hacktivisti o Advanced Persistent Threats (APT) possono sfruttare vulnerabilità sistemiche per infliggere danni gravi e sproporzionati anche alle maggiori potenze mondiali. La cyber-asimmetria consente a piccoli Stati o attori ibridi di esercitare un’influenza strategica senza precedenti, riducendo il divario di potere convenzionale e introducendo una nuova forma di deterrenza o pressione geopolitica.

Ambiguità strutturale e deniability strategica

Uno degli aspetti più insidiosi del cyberspazio è la difficoltà intrinseca di attribuire con certezza un attacco informatico. I vettori digitali possono essere facilmente mascherati, anonimizzati o deviati attraverso server di terze parti, creando uno scenario in cui nessuno può essere formalmente accusato con certezza. Questo favorisce il cosiddetto uso strategico dell’ambiguità, che permette di condurre operazioni di sabotaggio, spionaggio industriale o disinformazione senza incorrere in sanzioni o in escalation militari dirette. Di fatto, il cyberspazio si presta come ambiente ideale per operazioni “sotto soglia”, cioè attività ostili che non superano il limite oltre il quale si attiva una reazione militare formale da parte dello Stato colpito.

Il cyberspazio tra intelligence, diplomazia e disinformazione

Nel quinto dominio si intrecciano:

• Cyber intelligence: raccolta dati da fonti digitali, sorveglianza massiva, malware spia (es. Pegasus, FinFisher)
• Cyber diplomacy: negoziati internazionali per limitare armi informatiche offensive
• Cyber influence: campagne di disinformazione, social engineering, fake news per destabilizzare elezioni, mercati e opinione pubblica (es. Russiagate, Cambridge Analytica)

I principali teatri della cyber-conflittualità globale

La guerra informatica come proiezione del potere nel XXI secolo

Nel corso degli ultimi due decenni, il conflitto internazionale ha subito una trasformazione paradigmatica, passando dal predominio cinetico delle forze armate convenzionali alla centralità delle operazioni nel cyberspazio. Questo mutamento è stato favorito da quattro dinamiche fondamentali:

• La completa digitalizzazione delle infrastrutture strategiche (energia, trasporti, finanza, telecomunicazioni)
• La diffusione di strumenti di attacco informatico a basso costo e alta efficacia
• L’opacità dell’attribuzione, che consente agli Stati di agire nel “grigio” giuridico internazionale
• L’integrazione della sfera informativa (propaganda, manipolazione, social engineering) nella dottrina del conflitto

All’interno di questo scenario emergono tre teatri principali di cyber-conflittualità, che fungono non solo da casi di studio, ma da microcosmi strategici delle tensioni globali.

Ucraina: il laboratorio della cyberwarfare russa

La guerra ibrida in Ucraina rappresenta la prima applicazione su larga scala della guerra cibernetica come preludio e complemento a un’invasione militare convenzionale.

Dal 2014: preludio digitale all’invasione

L’annessione della Crimea e il conflitto nel Donbass furono accompagnati da una campagna di attacchi digitali su larga scala da parte di gruppi affiliati o controllati dall’intelligence russa (APT28, Sandworm, Fancy Bear). Tali operazioni includevano:

• Disruption delle comunicazioni militari e governative
• Attacchi alle infrastrutture elettriche (BlackEnergy, 2015; Industroyer, 2016)
• Diffusione di ransomware di matrice distruttiva (NotPetya, 2017), che ha causato danni globali stimati in oltre 10 miliardi di dollari.

Dopo il 2022: guerra simmetrica e asimmetrica

Con l’invasione russa del 24 febbraio 2022, le cyber operations si sono intensificate e formalizzate, in un contesto in cui:

• Le autorità ucraine hanno integrato capacità cyber militari e civili (es. IT Army of Ukraine)
• Attori privati occidentali, come Microsoft, Mandiant, Cloudflare, hanno contribuito attivamente alla cyberdifesa ucraina
• La NATO ha attivato protocolli di supporto cyber e monitoraggio condiviso dei vettori digitali

La resilienza cibernetica ucraina è oggi considerata un modello per la protezione statale di infrastrutture critiche.

Taiwan: deterrenza digitale in un contesto di frizione strategica

Taiwan rappresenta uno dei fronti più sensibili della geopolitica digitale asiatica. Pur non essendo formalmente riconosciuto come Stato sovrano da molti attori internazionali, l’isola mantiene un ecosistema digitale altamente sviluppato, basato su:

• un settore manifatturiero strategico (es. TSMC nei semiconduttori)
• infrastrutture ICT sofisticate
• una democrazia digitale avanzata

Pressione costante: spionaggio e attacchi DDoS

Il governo taiwanese ha registrato, solo nel 2023, oltre 30 milioni di tentativi di attacco informatico, con origini perlopiù attribuite alla Cina continentale. Le tecniche utilizzate includono:

• DDoS mirati contro siti governativi
• Phishing contro diplomatici e personale militare
• Deepfakes e campagne di disinformazione in prossimità di elezioni

Cyber-deterrenza e diplomazia multilaterale

Taiwan ha risposto implementando:

• Centri nazionali di cyber-resilienza
• Alleanze informali con USA, Giappone ed EU per la condivisione di threat intelligence
• Partecipazione a esercitazioni congiunte e scambi tecnico-strategici, sebbene senza riconoscimento diplomatico ufficiale

Taiwan diventa così una piattaforma avanzata di deterrenza digitale, anche per gli interessi strategici occidentali nel Pacifico.

USA-Cina: il conflitto cibernetico come asse del confronto tra superpotenze

Il confronto cyber tra Stati Uniti e Cina è il più strutturato, continuo e sofisticato tra due potenze globali. Non si tratta solo di difesa e attacco, ma di una lotta per l’egemonia digitale mondiale.

Cina: strategia di lungo termine per l’asimmetria cyber

La strategia cinese si basa su tre assi principali:

• Spionaggio industriale e strategico (es. casi Equifax, Anthem, OPM Breach)
• Controllo dell’informazione e censura globale (grande firewall, influenza nei social globali)
• Espansione infrastrutturale (Huawei, BeiDou, Digital Silk Road)

Il PLA Strategic Support Force è responsabile delle operazioni cyber cinesi, con una struttura che unisce spionaggio, guerra dell’informazione e difesa dei sistemi C4ISR.

Stati Uniti: risposta basata su difesa attiva e alleanze cyber

Gli Stati Uniti hanno:

• Istituito il Cybersecurity and Infrastructure Security Agency (CISA) per la protezione delle infrastrutture critiche
• Potenziato il Cyber Command e il comando congiunto con la NSA
• Firmato accordi di cyber defense reciproca con NATO, Five Eyes, Quad, Corea del Sud e Giappone

Negli ultimi anni, l’adozione di una strategia di “persistent engagement” ha portato a operazioni proattive per interrompere reti criminali e prevenire attacchi statali.

Altri teatri emergenti: Medio Oriente, Africa, America Latina Iran-Israele

Oltre ai grandi poli strategici di scontro cibernetico – come l’asse USA-Cina o il conflitto Russia-Ucraina – esistono aree geopolitiche in cui la cyber-conflittualità si sviluppa in modo meno visibile, ma altrettanto critico, costituendo nuove frontiere della guerra digitale asimmetrica.

Iran e Israele: un conflitto permanente nel cyberspazio

Nel contesto mediorientale, il conflitto informatico tra Repubblica Islamica dell’Iran e lo Stato di Israele si è consolidato come un’arena di scontro ibrido permanente, in cui i cyberattacchi rappresentano sia strumenti di sabotaggio operativo che veicoli di pressione politica. Tra gli eventi più significativi:

• Stuxnet (2010), considerato il primo malware con effetti fisici distruttivi, ha compromesso le centrifughe dell’impianto nucleare iraniano di Natanz. L’attacco, attribuito a una collaborazione tra Stati Uniti e Israele, ha inaugurato l’era del cyber-sabotaggio militare.
• L’Iran ha risposto attraverso campagne offensive digitali mirate, come l’attacco Shamoon (2012, 2016), che ha devastato sistemi informatici sauditi e, secondo intelligence occidentali, è stato progettato con il sostegno iraniano.
• Negli ultimi anni, entrambe le parti si sono impegnate in attacchi a infrastrutture civili e critiche, come reti idriche, ospedali, porti e sistemi ferroviari, con l’obiettivo di indebolire la stabilità interna dell’avversario.
• È emersa inoltre una strategia di impiego del ransomware e delle fughe di dati (data leak) a scopo politico, per discreditare istituzioni governative o gruppi di opposizione.

Questo scenario configura una guerra informatica a bassa intensità ma ad alta continuità, con caratteristiche fortemente simmetriche e cicliche.

Africa: nuova frontiera della cyberinstabilità geopolitica

Il continente africano, pur essendo meno industrializzato sul piano cyber rispetto ad altri, rappresenta un terreno fertile per attacchi informatici su larga scala per via della rapida digitalizzazione, scarsa protezione infrastrutturale e debolezza istituzionale.

• Si osserva un preoccupante incremento del cybercrime politico e del malware elettorale, in particolare in Paesi chiave come Nigeria e Kenya, dove attacchi informatici hanno avuto l’obiettivo di alterare la trasparenza dei processi democratici, diffondere disinformazione e destabilizzare i risultati delle elezioni.
• Parallelamente, cresce l’interesse strategico di potenze straniere, in primis Cina e Russia, nel plasmare la governance digitale dei Paesi africani. La via cinese è orientata a promuovere modelli di controllo autoritario dell’informazione (Digital Silk Road), mentre Mosca si concentra su operazioni di influenza e penetrazione infrastrutturale tramite gruppi proxy.
• La mancanza di una regolamentazione robusta in materia di cybersecurity, unita alla diffusione capillare di dispositivi connessi a basso costo e software piratati, crea un ambiente esposto a minacce sistemiche e a interferenze esterne sempre più sofisticate.

In questo contesto, l’Africa rischia di diventare il banco di prova geopolitico per le dottrine cyber offensive delle grandi potenze, in un clima di crescente interdipendenza tecnologica.

America Latina: la digitalizzazione istituzionale come vettore di vulnerabilità

In America Latina, la corsa alla modernizzazione digitale dei servizi pubblici si accompagna a una preoccupante fragilità cyber-strutturale, che ha esposto numerosi governi a ondate di attacchi informatici coordinati.

• Brasile, Argentina e Messico sono stati bersaglio, negli ultimi anni, di gravi attacchi contro ministeri, autorità fiscali, sistemi giudiziari e infrastrutture sanitarie, che hanno provocato interruzioni operative e perdita di dati sensibili. Tali attacchi sono stati ricondotti sia a gruppi criminali transnazionali sia, in alcuni casi, a entità sponsorizzate da Stati.
• La digitalizzazione delle pubbliche amministrazioni, sebbene necessaria per l’efficienza dei servizi, si è spesso sviluppata senza una corrispondente crescita delle capacità di protezione, monitoraggio e risposta agli incidenti, rendendo questi sistemi facili bersagli.
• L’interesse crescente di potenze tecnologiche globali nel collaborare con gli Stati latinoamericani sulla cybersecurity riflette il riconoscimento della regione come anello strategico nel cyberspazio geopolitico globale, soprattutto in settori chiave come energia, risorse naturali e smart cities.

Una geografia cyberglobale in espansione

Questi teatri emergenti della cyber-conflittualità dimostrano che nessuna regione è immune dalle dinamiche di confronto cibernetico tra Stati e attori non statali. Se nei casi di Iran-Israele la cybersfera funge da strumento di pressione bilaterale ad alta intensità, in Africa e America Latina essa si configura come strumento di influenza geopolitica e test di nuove strategie ibride.

La crescente diffusione della tecnologia digitale e la mancanza di una governance unitaria e globale del cyberspazio rischiano di moltiplicare i focolai di instabilità. La comprensione di questi teatri e delle logiche che li governano è fondamentale per anticipare crisi, rafforzare la resilienza e costruire una diplomazia cibernetica efficace.

I principali teatri della cyber-conflittualità globale non sono più solo zone grigie di attività clandestina, ma aree ad alta visibilità strategica, dove si definiscono:

• Le sfere di influenza digitale
• I nuovi equilibri tra sicurezza e libertà
• Le architetture internazionali di governance

Il futuro delle relazioni internazionali sarà sempre più legato alla capacità degli Stati di proteggere e proiettare potere attraverso reti, codici e algoritmi. Chi controllerà il cyberspazio, controllerà le fondamenta stesse dell’ordine globale.

Dal cyberspazio all’architettura della sicurezza statale

Nel XXI secolo, la sicurezza nazionale non può più prescindere da una strategia efficace e multilivello di resilienza cibernetica. I cyber attacchi – sempre più frequenti, sofisticati e potenzialmente paralizzanti – rappresentano una minaccia trasversale: possono colpire infrastrutture critiche, processi democratici, economie strategiche e persino il tessuto sociale attraverso campagne di disinformazione.

A fronte di una superficie di attacco in continua espansione, gli Stati hanno sviluppato tre principali modelli di risposta al rischio cibernetico, ciascuno interdipendente:

• Difesa (resilienza tecnica e operativa)
• Deterrenza (prevenzione mediante minaccia di ritorsione)
• Diplomazia (costruzione di norme e alleanze internazionali)

Questi approcci non si escludono, ma coesistono in un quadro strategico che punta a riequilibrare il vantaggio asimmetrico degli attaccanti, garantendo al tempo stesso legittimità, cooperazione multilaterale e governance condivisa.

Difesa: costruire resilienza nel dominio digitale

Difesa cibernetica nazionale

La difesa rappresenta il primo livello di protezione ed è generalmente articolata su tre assi:

• Prevenzione: aggiornamento dei sistemi, segmentazione delle reti, crittografia avanzata
• Rilevazione: monitoraggio continuo, threat intelligence, AI comportamentale
• Risposta e recovery: incident response plan, business continuity, backup e disaster recovery

Ogni Stato ha istituito autorità centrali per la cybersecurity:

• CISA (USA): coordina la protezione delle infrastrutture critiche
• ANSSI (Francia): struttura d’élite con compiti sia tecnici che strategici
• ENISA (UE): agenzia per la cooperazione e il coordinamento cyber tra Stati membri

Settore privato e cooperazione pubblico-privata

Poiché oltre il 70% delle infrastrutture critiche è gestito da operatori privati, la difesa non può essere solo statale. Modelli avanzati prevedono:

• CERT nazionali e settoriali (es. Energy-CERT, Health-CERT)
• Obblighi di notifica degli incidenti (GDPR, NIS2, DORA)
• Partenariati strategici con Big Tech e società di cybersicurezza (Microsoft, Mandiant, Cisco)

Deterrenza: dissuadere l’attacco attraverso la minaccia della ritorsione

Deterrenza classica vs cyber deterrenza

Nel contesto nucleare o convenzionale, la deterrenza si basa sulla trasparenza e sulla certezza della rappresaglia. Nel cyberspazio queste condizioni sono molto più difficili da soddisfare:

• Attribuzione incerta
• Ambiguità dell’intenzionalità
• Possibilità di attacchi via proxy

Tuttavia, gli Stati stanno sviluppando strategie di deterrenza adattiva, fondate su:

• Public attribution (naming & shaming): dichiarazioni ufficiali di responsabilità (es. NotPetya, SolarWinds)
• Sanzioni mirate contro individui, enti o Stati (es. Executive Orders USA)
• Contromisure offensive proporzionate: il concetto di “active cyber defense” include operazioni di neutralizzazione preventiva di server, botnet o nodi malevoli

Persistent Engagement e Defending Forward

Il Cyber Command statunitense adotta la dottrina del Persistent Engagement, che prevede:

• Presenza continua nel cyberspazio per anticipare e dissuadere
• Operazioni esterne a fini difensivi (defending forward), anche in territori digitali ostili

Questa visione segna un superamento della difesa passiva e una nuova concezione del cyberspazio come dominio operativo attivo.

Diplomazia: norme, coalizioni e governance globale

Cyber diplomazia multilaterale

La diplomazia cyber si muove su due piani:

• Normativo: sviluppo di standard e regole internazionali condivise
• Operativo: creazione di coalizioni, scambio di intelligence e formazione congiunta

Organizzazioni come:

• ONU (GGE e OEWG on ICT Security)
• NATO (Tallinn Manual, Cooperative Cyber Defence Centre of Excellence)
• OCSE e ASEAN

stanno definendo principi di condotta responsabile degli Stati nel cyberspazio, seppur senza un trattato vincolante.

Cyber alleanze strategiche

Oltre alla diplomazia multilaterale crescono le coalizioni regionali e tematiche:

• Five Eyes (USA, UK, Canada, Australia, Nuova Zelanda): cooperazione in cyber intelligence
• Quad Cyber Group (USA, Giappone, India, Australia)
• EU Cyber Rapid Response Teams: forza reattiva coordinata tra Stati membri

Queste alleanze mirano a contrastare le campagne di influenza, disinformazione e interferenza, promuovendo al contempo capacità condivise di difesa proattiva.

I limiti dei modelli attuali: escalation, ambiguità e frammentazione

Nonostante i progressi, persistono criticità strutturali nei modelli di risposta:

• Attribuzione incerta → rischio di ritorsioni errate o escalation non intenzionale
• Frammentazione normativa → standard divergenti tra blocchi geopolitici
• Assenza di accountability globale → attori non statali e “cyber mercenari” fuori controllo
• Rischio di over-reaction → risposta militare a un attacco cyber può violare il principio di proporzionalità

Serve pertanto una visione sistemica e cooperativa che armonizzi sicurezza, legalità, stabilità e innovazione.

I cyber attacchi non sono solo eventi tecnici, ma fenomeni politici, giuridici e strategici, capaci di rimodellare il concetto stesso di sovranità e conflitto. La risposta efficace degli Stati richiede un equilibrio delicato tra resilienza interna, capacità dissuasiva esterna e cooperazione multilivello.

In un mondo digitale sempre più frammentato, ma al contempo interdipendente, la capacità di gestire il cyberspazio come dominio strategico sarà la vera misura della forza di una nazione. Non basta difendersi: bisogna saper convivere, comunicare e cooperare nel cyberspazio globale.