Mercoledì è stata presentata la Relazione Annuale 2026 dell’intelligence, in cui è emersa la necessità di cambiare approccio. A imporlo è il ruolo sempre più centrale della tecnologia, da cui dipendono una serie di fattori. Le parole d’ordine sono “identificare” e “prevenire” le minacce. Formiche.net ne ha parlato con Stefano Mele, avvocato e Partner dello studio legale Gianni & Origoni, dove è il Responsabile del Dipartimento Cybersecurity & Space Economy Law e co-Responsabile del Dipartimento Data Privacy.

Dalla Relazione emerge la necessità di cambiare approccio. La tecnologia è innovazione, ma anche il motore della trasformazione del nostro mondo. Cosa comporta per l’intelligence?

La Relazione parte da un presupposto molto chiaro: la rivoluzione tecnologica sta trasformando simultaneamente la dimensione sociale, economica, politica e militare delle società contemporanee, con una velocità tale da rendere spesso inadeguati gli strumenti tradizionali con cui gli Stati interpretano la realtà.  In questo contesto cambia anche il ruolo dell’intelligence. Non si tratta più soltanto di raccogliere informazioni su eventi già accaduti o su minacce immediatamente visibili. L’obiettivo diventa comprendere le traiettorie della trasformazione tecnologica e anticiparne gli effetti, perché molte minacce nascono proprio dall’uso strategico delle tecnologie emergenti. Questo implica un rafforzamento delle capacità di analisi prospettica e di previsione. Le strutture di intelligence sono chiamate a comprendere non solo che cosa sta accadendo, ma anche chi potrebbe sfruttare determinate tecnologie, con quali obiettivi e quali conseguenze geopolitiche, economiche o sociali. In altre parole, la sicurezza nazionale richiede oggi una capacità di lettura anticipata dei processi tecnologici e dei nuovi equilibri di potere che ne derivano.

La Relazione introduce anche il concetto di sistemi “cyber-fisici”. Di cosa parliamo?

Descrive una trasformazione molto concreta del modo in cui funzionano le infrastrutture moderne. Sempre più spesso i sistemi digitali e quelli fisici sono integrati in un unico ecosistema operativo. Pensiamo alle reti energetiche, ai trasporti, ai sistemi industriali, alla sanità o alle infrastrutture di telecomunicazione. In questi contesti software, sensori, reti informatiche e macchine fisiche lavorano insieme per garantire il funzionamento di servizi essenziali. La conseguenza è che un attacco informatico non rimane più confinato nello spazio digitale. Può produrre effetti reali, interrompere servizi, bloccare processi industriali o compromettere infrastrutture strategiche. Proprio per questo la Relazione evidenzia che la robustezza degli ecosistemi cyber-fisici dipende sia dalla sicurezza della componente informatica sia dalla qualità dell’integrazione con il dominio fisico. Questo rende la sicurezza cibernetica una componente sempre più centrale della sicurezza nazionale nel suo complesso.

Quali sono al momento le più grandi minacce cyber e da chi sono rappresentate?

Secondo la Relazione, le minacce cyber più sofisticate provengono da gruppi altamente specializzati spesso contigui ad apparati governativi stranieri. Si tratta delle cosiddette APT, Advanced Persistent Threat, che operano con capacità tecniche avanzate e con obiettivi di lungo periodo, in particolare per attività di spionaggio tecnologico e industriale. Accanto a queste attività di matrice statuale esiste poi una dimensione criminale sempre più strutturata. Il documento evidenzia, ad esempio, l’aumento delle attività legate al furto di identità digitali e di credenziali, che vengono poi rivendute nei marketplace illegali del deep e dark web.  In questo quadro si inserisce anche il fenomeno del ransomware. La Relazione ricorda che questi strumenti malevoli vengono utilizzati dai gruppi criminali per cifrare i dati delle vittime e richiedere il pagamento di un riscatto per restituirne l’accesso, alimentando un mercato illegale estremamente redditizio. A completare il quadro vi sono poi le attività di gruppi hacktivisti e di attori che operano come proxy di governi stranieri, spesso utilizzati per condurre azioni di disturbo o di pressione politica.

Abbiamo le giuste difese per difenderci?

La Relazione mostra come la difesa cibernetica si basi su una combinazione di strumenti tecnologici, capacità di intelligence e cooperazione internazionale. Uno degli aspetti più rilevanti riguarda proprio il lavoro sull’attribuzione degli attacchi. Individuare con sufficiente certezza l’autore di un’operazione cyber è un passaggio fondamentale per contrastare le attività ostili e per sviluppare risposte coordinate a livello internazionale. In questo senso è significativo che la comunità di intelligence italiana abbia partecipato, insieme ai principali partner occidentali, a un report congiunto che attribuisce pubblicamente alla Repubblica Popolare Cinese una campagna di spionaggio informatico condotta dal gruppo APT noto come “Salt Typhoon”. Questo dimostra come la sicurezza cibernetica oggi sia anche un ambito di cooperazione strategica tra Paesi alleati, oltre che una questione di capacità tecniche e difensive nazionali.

Nel documento si legge che forse c’è una “inadeguata percezione – specie nella pubblica amministrazione – dell’effettivo perimetro infrastrutturale” che merita protezione. Crede sia così? Nel caso, quali sono le infrastrutture chiave che meriterebbero un’attenzione maggiore?

La Relazione suggerisce che il perimetro delle infrastrutture da proteggere sia spesso percepito in modo troppo ristretto. Oggi non esistono più sistemi completamente isolati, ma ecosistemi digitali interconnessi in cui il punto di ingresso per un attacco può trovarsi anche in una componente periferica del sistema. Gli attori ostili, ad esempio, tentano spesso di accedere alle reti informatiche attraverso dispositivi utilizzati dal personale o attraverso servizi ICT collegati alle organizzazioni pubbliche. In alcuni casi l’obiettivo è sottrarre credenziali di accesso che poi vengono utilizzate per ulteriori operazioni o vendute nel dark web.

Quindi su cosa dovrebbe concentrarsi l’attenzione?

Non solo sulle infrastrutture critiche più evidenti, ma sull’intero ecosistema digitale che le supporta. Oltre ai settori tradizionalmente strategici – come energia, telecomunicazioni o finanza – la Relazione segnala ad esempio il crescente interesse degli attori ostili verso le infrastrutture digitali della pubblica amministrazione e verso il settore sanitario. In un sistema sempre più interconnesso, la sicurezza non dipende soltanto dalla protezione dei nodi centrali, ma dalla resilienza complessiva della rete di infrastrutture digitali su cui si regge il funzionamento del Paese.