Dal dominio cognitivo a quello cibernetico. L’Italia sotto attacco ibrido nel dossier Crosetto

Presentato durante la riunione del Consiglio Supremo di Difesa, il “Non-paper sul contrasto alla guerra ibrida” del ministro della Difesa, Guido Crosetto, parla chiaro: l’Italia è già in un conflitto sottosoglia, quotidiano, mutevole e multi dominio. Il documento sostiene che gli attacchi non mirano tanto a danneggiare infrastrutture o sistemi quanto a erodere la percezione pubblica di sicurezza. È proprio Crosetto, nel testo, a ricordare che nello scenario ibrido “conta più la percezione della certezza”, perché la minaccia prospera nell’ambiguità, nell’attribuzione difficile, nella costante instillazione di dubbio e insicurezza in società già polarizzate

Cosa e come?

Il non-paper (si può consultare qui) parte da una definizione ampia e ormai condivisa di “minaccia ibrida”: la combinazione orchestrata di leve diplomatiche, informative, economiche, militari e cyber utilizzate da attori statuali e non-statuali per colpire un Paese senza superare la soglia della guerra aperta. A rendere il quadro particolarmente insidioso non è solo l’intensità crescente del fenomeno, ma il suo radicamento strutturale: la minaccia non si manifesta più in modo episodico, ma come condizione permanente, modellata sulle fragilità del sistema-target e adattata in tempo reale. Il documento mostra come la componente cognitiva sia ormai il fattore decisivo. Nel dominio ibrido, l’obiettivo né quello di alterare la percezione collettiva, insinuare sfiducia nel governo, delegittimare le istituzioni, corrodere il senso di appartenenza alle alleanze occidentali.

Chi?

Secondo il non-paper, gli attori ostili sono quattro: Russia, Cina, Iran e Corea del Nord. Mosca continua a impiegare un arsenale ibrido consolidato, fatto di sabotaggi, operazioni di influenza, pressione sulle forniture energetiche, uso dei flussi migratori come strumento destabilizzante e attività cibernetiche attribuite a gruppi affiliati. Pechino opera con una strategia definita “multi-vettoriale”, capace di integrare leve economiche, tecnologiche e informative, penetrando settori critici e sfruttando le dipendenze europee da materie prime strategiche come terre rare, gallio e germanio. L’Iran utilizza una rete di proxy regionali e insiste sul controllo dei choke points marittimi, mentre la Corea del Nord fa leva su un apparato cyber responsabile di ransomware, furti di criptovalute e spionaggio digitale che alimenta la sopravvivenza del regime.

L’Italia si trova invece al crocevia di queste pressioni. Il documento evidenzia tre vulnerabilità principali: la dipendenza energetica dall’estero; la concentrazione sul territorio nazionale di infrastrutture critiche che diventano bersagli naturali per cyberattacchi e sabotaggi; e un ecosistema politico-sociale facilmente permeabile alla disinformazione. Il quadro dei numeri fornito dall’Agenzia per la Cybersicurezza Nazionale è, in questo senso, impressionante. Nel solo 2024 sono stati registrati 1.979 eventi cyber, con un aumento del quaranta per cento rispetto all’anno precedente, e 573 incidenti con impatto confermato, in crescita dell’ottantanove per cento. Nel primo semestre 2025 gli eventi sono aumentati ancora del cinquantatré per cento. Il settore sanitario e quello manifatturiero si confermano i più colpiti, con conseguenze dirette sulla vita dei cittadini e sulla competitività delle imprese.

Dall’agorà digitale a quella pubblica

Accanto al dominio cyber, il documento dedica ampio spazio alle interferenze nei processi democratici. La logica è chiara: ogni appuntamento elettorale rappresenta un’occasione per gli attori ostili di manipolare il dibattito pubblico, diffondere contenuti falsi, sfruttare deepfake e tecniche di micro-targeting, screditare candidati e istituzioni. L’Unione Europea ha rafforzato i propri strumenti, dal Fimi Toolbox alle linee guida per le piattaforme online, fino all’attivazione del meccanismo Ipcr durante le elezioni europee del 2024. Ma è l’ampiezza del fenomeno a superare la capacità di difesa dei singoli Stati membri, rendendo indispensabile una cooperazione sistemica e una nuova alfabetizzazione digitale della società civile per lo sviluppo di anticorpi cibernetici.

Le leve di coercizione

Un altro asse fondamentale della minaccia ibrida è la coercizione geo-economica. Il non-paper sottolinea come le dipendenze europee, e italiane, da materie prime critiche siano ormai anch’esse uno strumento di pressione strategica. L’Unione europea importa dalla Cina oltre il novantotto per cento dei materiali necessari ai magneti permanenti e praticamente il cento per cento delle terre rare pesanti. L’Italia presenta una dipendenza dalle importazioni pari al 47%, più del doppio della media europea. A questa vulnerabilità si aggiungono i choke points logistici, in particolare Suez e Bab el-Mandeb. Proprio dal Canale di Suez transita circa il quaranta per cento del commercio marittimo italiano. Un collo di bottiglia che può essere manipolato in modo indiretto, come dimostrato dagli attacchi degli Houthi che hanno costretto numerosi operatori a circumnavigare l’Africa con costi e ritardi significativi.

L’intero ecosistema della minaccia ibrida agisce quindi su una linea di frizione continua, una grey zone, o zona grigia, che permette ai vettori asimmetrici e sottosoglia di proliferare. Qui rientrano gli sconfinamenti aerei nei Paesi baltici, i sorvoli di droni su infrastrutture europee, la presenza di gruppi mercenari come il Wagner in Africa a tutela degli interessi russi, o episodi come l’interferenza Gps che ha colpito l’aereo della presidente della Commissione Ursula von der Leyen nel settembre 2025, costringendo l’equipaggio a utilizzare mappe cartacee per atterrare. Tutte manifestazioni di una pressione costante, calibrata per evitare l’escalation ma sufficiente a logorare la resilienza degli avversari.

Come muoversi

Sul fronte delle risposte, il non-paper individua nella cooperazione internazionale la condizione imprescindibile. La Nato ha adottato nel 2025 una nuova strategia dedicata al contrasto delle minacce ibride, rafforzando strumenti come la Virtual Cyber Incident Support Capability e il meccanismo ScepvA. Accanto alla deterrenza classica, l’Alleanza punta sulla consapevolezza situazionale condivisa, sulla capacità di risposta rapida e su una presenza più incisiva sul fianco Sud, per fronteggiare pressioni in un Mediterraneo sempre più competitivo. L’Unione Europea, parallelamente, dispone di un corpus regolatorio imponente e in espansione, dal Cyber Resilience Act alla Nis2, al Digital Services Act, oltre a strutture operative come Enisa ed Eccc. Il G7, infine, ha ampliato il mandato del Rapid Response Mechanism includendo la coercizione economica, segnando una convergenza politica senza precedenti tra le grandi democrazie industrializzate.

Come muoversi? Il non-paper propone una trasformazione interna altrettanto profonda. Prima fra tutte, la creazione di una Arma Cyber civile-militare, numericamente adeguata e operativa ventiquattr’ore su ventiquattro, con una consistenza iniziale compresa tra le 1.200 e le 1.500 unità e una prospettiva finale di almeno 5.000 operatori specializzati. Accanto a questa, il documento propone un Centro nazionale per il Contrasto alla Guerra Ibrida, destinato a coordinare analisi, risposte e cooperazione interistituzionale. L’obiettivo è quello di reagire agli attacchi, ma anche di impedirli, anticiparli, di ridurre la libertà di manovra degli attori ostili. In altre parole, passare da una postura difensiva a una postura proattiva, perché, sostiene il documento, contenere la minaccia, in uno scenario nel quale la guerra ibrida non è evento ma contesto, non basta più. La velocità degli attacchi e la lentezza fisiologica delle democrazie creano una frizione destinata ad ampliarsi. La grande sfida sarà ridurre questa distanza, dotarsi di strumenti adeguati e soprattutto creare una cultura della sicurezza che coinvolga istituzioni, imprese e cittadini.