Dalla convocazione dell’ambasciatore russo a Copenaghen per presunti cyberattacchi contro una utility idrica e i partiti politici danesi, fino al ransomware che ha colpito l’agenzia delle acque in Romania, emerge un quadro di pressione cibernetica costante sulle infrastrutture ordinarie europee
La Danimarca ha convocato l’ambasciatore russo a Copenaghen, Vladimir Barbin, dopo aver accusato Mosca di essere dietro due cyberattacchi, uno contro una utility idrica nel 2024, l’altro contro siti di partiti politici alla vigilia delle elezioni amministrative e regionali del novembre 2025.
Secondo il Danish Defence Intelligence Service (Ddis), responsabili sarebbero i gruppi Z-Pentest e NoName057(16), entrambi considerati veri e propri strumenti dell’ecosistema cyber russo. Nel primo caso, un piccolo impianto di trattamento vicino al porto di Køge è stato sabotato manipolando la pressione del sistema: una cinquantina di famiglie senza acqua per ore. Nel secondo, una raffica di attacchi DDoS ha mandato offline per breve tempo i siti di diverse forze politiche.
Per l’intelligence danese, quella in atto è una campagna di influenza volta a colpire infrastrutture e processi ordinari per “creare insicurezza” e punire i Paesi che sostengono Kyiv. Le elezioni diventano così moltiplicatori di visibilità, non per il voto, ma per l’impatto psicologico.
Non solo Copenaghen
All’inizio del mese Berlino ha convocato l’ambasciatore russo dopo aver attribuito al gruppo Apt28/Fancy Bear, legato al Gru, un attacco del 2024 contro l’ente del controllo del traffico aereo tedesco e una campagna di disinformazione in vista delle elezioni federali. Ed il copione, ancora una volta, si ripete: attribuzione pubblica, pressione diplomatica, smentite russe.
L’elemento comune è l’uso di operazioni sotto soglia, nessuna escalation immediata, accumulo di segnali per testare tempi di reazione, resilienza tecnica, tenuta politica.
Più a sud-est, in Romania, negli scorsi giorni la minaccia ha preso un’altra forma. L’agenzia nazionale per la gestione delle acque è stata colpita da un ransomware che ha bloccato circa mille sistemi informatici. Server e postazioni di lavoro fuori uso, email indisponibili, comunicazioni riportate al telefono e alla radio. Gli attaccanti, secondo le prime analisi, non avrebbero usato malware particolari, bensì BitLocker, uno strumento legittimo di Windows, trasformato in arma di ricatto. Un approccio visto crescere negli ultimi anni e associato a script come ShrinkLocker, usati da attori multipli per colpire sistemi datati.
Difendere l’ordinario
Danimarca e Romania fotografano lo stesso fenomeno. Da un lato, operazioni attribuite a Stati che usano gruppi proxy per proiettare potenza e pressione politica. Dall’altro, criminalità opportunistica che sfrutta vulnerabilità e strumenti quotidiani. Nel mezzo, infrastrutture nate per erogare servizi, non per reggere l’urto di campagne cibernetiche.
Il paradosso è che a essere colpito è l’ordinario. I piccoli impianti locali, le reti di supporto, i sistemi amministrativi, le periferie digitali. L’acqua è, in questo senso, un bersaglio ideale: essenziale, diffusa, politicamente sensibile. Basta poco per trasformare un disservizio in un caso mediatico, per insinuare il dubbio sulla capacità dello Stato di proteggere ciò che conta. E riguardo all’acqua, l’obiettivo non è quello di chiudere i rubinetti, quanto erodere la fiducia, mappare le reti, preparare il terreno.
Ancora una volta, episodi simili, asimmetrici, granulari e dispersivi invitano i governi ad un’analisi congiunta, d’insieme e sistemica. Difendere l’ordinario significa accettare che la minaccia si concretizzerà attraverso una erosione causata da sequenze continue di piccoli colpi.
