Le minacce non sono più eventi ma condizioni permanenti. Il nuovo Annual Threat Assessment descrive un sistema internazionale dominato da competizione continua, tecnologie emergenti e conflitti a bassa visibilità, in cui intelligence e informazione diventano strumenti centrali del potere. L’analisi di Antonio Teti, esperto di intelligence, cybersecurity e intelligenza artificiale, docente dell’Università G. d’Annunzio
C’è un passaggio, nell’Annual Threat Assessment 2026 dell’Office of the Director of National Intelligence (Odni), che più di altri consente di comprendere la trasformazione profonda in atto nel sistema internazionale: le minacce non sono più eventi, ma condizioni permanenti. Questa affermazione, apparentemente tecnica, ha implicazioni dirompenti. Significa che la sicurezza globale non è più organizzata intorno a crisi episodiche, ma attorno a una competizione sistemica continua, nella quale gli Stati – e sempre più spesso attori non statali – operano simultaneamente su più livelli: tecnologico, informativo, economico, militare e cognitivo.
Il mondo dopo la fine della “normalità strategica”
Ciò che viene evidenziato nel rapporto annuale dell’agenzia di intelligence statunitense è la consapevolezza che non siamo più immersi nel paradigma della deterrenza classica, né in quello delle guerre limitate, bensì siamo entrati in una fase che potremmo definire di “conflittualità persistente a bassa visibilità”, in cui l’azione strategica si sviluppa sotto la soglia del conflitto dichiarato, ma con effetti cumulativi potenzialmente superiori a quelli di una guerra convenzionale. In questo scenario, l’intelligence assume una funzione radicalmente diversa: non più solo strumento di previsione o supporto decisionale, ma architettura permanente del potere statale.
Cina: la costruzione di una superiorità sistemica integrata
Nel documento dell’Odni, la Cina emerge con chiarezza come il principale competitor strategico degli Stati Uniti, considerare Pechino una sorta di semplice “minaccia” sarebbe limitante. La Cina rappresenta, più propriamente, un modello alternativo di organizzazione del potere tecnologico e informativo. Ciò che distingue l’approccio cinese non è solo la quantità di risorse impiegate, ma la qualità dell’integrazione tra sistemi civili e militari. Il paradigma della Military-Civil Fusion (Mcf) consente al Partito Comunista Cinese di mobilitare università, aziende, centri di ricerca e apparati statali in un’unica formidabile architettura strategica. Nel modello cinese, il dato non è semplicemente una risorsa economica, ma una leva geopolitica di grande rilevanza. Attraverso piattaforme digitali, sistemi di sorveglianza e infrastrutture tecnologiche globali (si pensi alla Belt and Road Initiative digitale), Pechino costruisce una rete di accesso privilegiato alle informazioni. L’intelligenza artificiale svolge qui un ruolo nevralgico. Non si tratta solo di applicazioni tecnologiche, ma di un vero e proprio ecosistema di intelligence algoritmica, in cui l’analisi predittiva supporta le decisioni strategiche, incrementa la sorveglianza avanzata per garantire il controllo sociale, innalzare il livello delle operazioni cognitive per influenzare gli ambienti esterni. Uno degli elementi più rilevanti evidenziati dall’Ata riguarda le attività di “pre-positioning” nelle infrastrutture critiche occidentali. Questo concetto implica che attori statali, in particolare cinesi, siano già presenti – in forma latente – all’interno di sistemi energetici, telecomunicazioni, trasporti e sanità dei paesi occidentali. Non si tratta di attacchi immediati, ma di una strategia di lungo periodo basta su accessi silenti, persistenza nelle reti, capacità di attivazione in caso di crisi. Un esempio concreto è rappresentato dalle campagne attribuite a gruppi come Volt Typhoon, che hanno mostrato capacità di infiltrazione mirata in infrastrutture statunitensi. Il pre-positioning rappresenta, di conseguenza, una forma di deterrenza offensiva che si fonda su un concetto molto semplice: non si colpisce subito, ma si dimostra la capacità di farlo in qualsiasi momento.
Russia: la strategia dell’instabilità come arma geopolitica
Se la Cina focalizza l’attenzione sulla costruzione di tecniche e strategie finalizzate alla penetrazione di sistemi informativi, la Russia concentra i suoi interessi sulle attività di destabilizzazione. Questa potrebbe essere la sintesi più efficace del ruolo di Mosca nello scenario delineato dal Dni. La Russia ha sviluppato negli ultimi anni una sofisticata dottrina di guerra ibrida, fondata sull’uso combinato di cyber warfare, disinformazione, operazioni psicologiche e una sostanziale pressione sul piano economico ed energetico. Nel caso russo, la guerra non viene intesa come un evento specifico, ma piuttosto come processo graduale. Le operazioni iniziano molto prima del conflitto aperto e proseguono ben oltre la sua conclusione. Il teatro ucraino rappresenta, a tal proposito, un laboratorio emblematico: gli attacchi cyber contro infrastrutture energetiche (es. BlackEnergy, Industroyer), le campagne di disinformazione su larga scala e l’uso combinato di strumenti militari e informativi sono condotti mediante un percorso strutturato e progressivo. Ma il vero obiettivo della strategia russa non è solo territoriale, ma è soprattutto finalizzato alla destabilizzazione delle democrazie occidentali.
Lo dimostrano le continue operazioni di influenza russe, che mirano ad amplificare divisioni interne e a delegittimare le istituzioni attraverso la riduzione della fiducia delle masse nei processi democratici. Le campagne di disinformazione non cercano necessariamente di convincere, ma di creare ambiguità e sfiducia, e il loro successo si misura nella perdita di coesione sociale, non nel consenso diretto.
Iran: la guerra distribuita e la logica della plausibile negazione
Il rapporto Ata 2026 definisce l’Iran come uno degli attori più sofisticati nella gestione della guerra asimmetrica. La sua strategia si fonda su una architettura distribuita che combina proxy regionali, capacità cyber e operazioni clandestine. Teheran ha dimostrato negli ultimi anni una crescente capacità nel dominio cyber, con operazioni di data exfiltration, attacchi distruttivi, campagne di influenza. Gruppi come Apt33, Apt34 (OilRig) e Apt42 operano in perfetta sinergia con gli interessi strategici del regime. Valgono come esempio i recenti caso che riguardano le operazioni di esfiltrazione dati contro entità occidentali e infrastrutture critiche, con finalità sia di intelligence sia di pressione geopolitica. L’elemento distintivo del modello iraniano è la capacità di operare mantenendo un alto livello di negabilità attraverso l’uso di gruppi intermedi e infrastrutture distribuite. La plausible deniability consente di colpire senza innescare escalation dirette, rendendo la risposta strategica più complessa.
Corea del Nord: la nascita della criminalità strategica
La Corea del Nord rappresenta un caso unico nel panorama internazionale, in cui la dimensione statale e quella criminale si fondono. Pyongyang utilizza il cyber spazio per finanziare il proprio programma nucleare, aggirare le sanzioni, condurre operazioni di intelligence. Il noto gruppo Lazarus è responsabile di alcune delle più rilevanti operazioni cyber degli ultimi anni, come l’attacco condotto contro Sony Pictures (2014), i molteplici furti di criptovalute (centinaia di milioni di dollari), e gli attacchi supply chain. La Corea del Nord ha trasformato il cybercrime in una componente strutturale della propria strategia statale, anticipando modelli che potrebbero essere replicati da altri attori.
Intelligenza artificiale: il moltiplicatore strategico
Uno dei messaggi più chiari dell’Ata 2026 è che la tecnologia, e in particolare l’intelligenza artificiale, rappresenta il principale fattore di trasformazione della sicurezza globale. L’Ia interviene in tutte le fasi del ciclo dell’intelligence: dalle attività di raccolta (data harvesting), all’analisi (pattern recognition), alla diffusione (automazione reportistica). Questo consente una accelerazione senza precedenti del processo decisionale, ma anche nel dominio cyber, l’Ia permette di condurre attività in tempi ridottissimi, come nel caso degli attacchi automatizzati, l’adattamento dinamico e immediato alle difese, il social engineering avanzato. L’Ia riduce la barriera d’ingresso per attori non statali, aumentando la complessità del panorama delle minacce. Il vero campo di battaglia del XXI secolo non è più soltanto fisico, ma sempre più cognitivo. La guerra cognitiva si basa sulla capacità di influenzare percezioni e comportamenti attraverso la disinformazione, la manipolazione algoritmica, la produzione di contenuti sintetici (deepfake). Gli obiettivi strategici sono sempre gli stessi: la polarizzazione sociale, la perdita di fiducia nelle istituzioni e il disorientamento informativo, poicè la guerra cognitiva non mira a distruggere infrastrutture, ma a destabilizzare sistemi decisionali e sociali.
Terrorismo: decentralizzazione e accelerazione digitale
Anche il fenomeno del terrorismo contemporaneo sta mutando sempre di più verso la decentralizzazione, la digitalizzazione e la bassa soglia operativa. I cosiddetti “lone actors” rappresentano una delle principali criticità, e sono sempre più attivi nelle attività di radicalizzazione online, accesso a strumenti tecnologici e una sempre maggiore capacità di azione autonoma. Il terrorismo sta evolvendo verso modelli definibili come “low cost, high impact”, ovvero difficili da intercettare con strumenti tradizionali. Per l’Europa, in particolare, il quadro delineato dall’Ata 2026 pone sfide significative incentrate nella vulnerabilità delle principali infrastrutture critiche, una dipendenza tecnologica verso paesi “a rischio”, una sostanziale frammentazione normativa. Un ruolo importante viene attribuito alle università, che rappresentano un target privilegiato per la conduzione di attività di spionaggio tecnologico, acquisizione di know-how e operazioni di influenza. Sulla base di queste evidenze appare improcrastinabile lo sviluppo di capacità di cyber intelligence, ecosistemi di sicurezza pubblico-privati e strategie di sovranità tecnologica. La sicurezza nazionale, com’è noto, passa sempre più attraverso la sicurezza digitale e la protezione del capitale informativo.
Conclusioni: verso una nuova grammatica del potere
L’Annual Threat Assessment 2026 non descrive semplicemente un elenco di minacce, ma indica un cambiamento di paradigma. Viviamo in un mondo in cui la competizione è continua, la tecnologia è centrale, l’intelligence è permanente, il conflitto è multidimensionale. La vera sfida per gli Stati non è solo difendersi, ma comprendere la natura di questo nuovo contesto, poiché, come suggerisce implicitamente il report, il potere nel XXI secolo non si misura più solo in termini militari o economici, ma nella capacità di gestire l’informazione, controllare la tecnologia, influenzare le percezioni. In altre parole, nella capacità di governare la complessità dell’epoca che stiamo attrvaersando. E in questa nuova grammatica del potere, chi non saprà adattarsi rischia non solo di perdere competitività, ma di diventare terreno di confronto per altri.
