ESTRATTO

Tra il 2014 e il 2025 , il documentato rafforzamento delle capacità informatiche da parte degli alleati della NATO in Ucraina (in particolare i fondi fiduciari Comando, Controllo, Comunicazioni e Computer (C4) e Difesa informatica ), gli schieramenti di US Hunt Forward pubblicamente riconosciuti dall’US Cyber Command (USCYBERCOM) nel 2021-2022 e un’ondata senza precedenti di rafforzamento delle reti e di migrazione al cloud tra pubblico e privato, guidata dai programmi del governo statunitense insieme alle principali aziende tecnologiche, hanno rimodellato il dominio informativo del conflitto. Fonti istituzionali primarie – materiali del fondo fiduciario della NATO ( 2016-2018 ), comunicati dell’USCYBERCOM ( novembre 2022 ), avvisi congiunti della CISA ( febbraio 2022 , settembre 2024 ), Dipartimento di Stato degli Stati Uniti ( maggio 2022 ), Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ( analisi 2024-2025 ) e riconoscimenti formali del generale Paul Nakasone nel giugno 2022 – corroborano la portata e la natura del supporto dei partner all’Ucraina . Contemporaneamente, il volontario “Esercito IT dell’Ucraina” , lanciato il 26 febbraio 2022 , opera tramite tasking Telegram ed è stato esaminato da analisti accademici presso il Centro per gli studi sulla sicurezza dell’ETH di Zurigo ( giugno 2022 ), mentre gli ecosistemi di tasking DDoS e le impronte di hosting ampiamente riportati sono stati attribuiti in dichiarazioni ufficiali presso l’ OSCE ( giugno 2022 ). I bollettini delle forze dell’ordine di Europol ( 2022-2025 ) descrivono dettagliatamente frodi transfrontaliere e schemi basati sulla telefonia che coinvolgono Ucraina , Stati membri dell’UE e altre giurisdizioni, senza fornire cifre convalidate nella scala talvolta rivendicata dai media. I documenti verificati includono inoltre la direttiva del febbraio 2025 riportata da The Record secondo cui il Segretario alla Difesa Pete Hegseth ha ordinato un temporaneo ritiro offensivo dell’USCYBERCOM e persistenti attribuzioni di attività dirompenti del GRU da parte di CISA-FBI-NSA ( settembre 2024).). L’analisi in capitoli sintetizza queste fonti, concentrandosi sulle prove istituzionali verificabili ed escludendo le affermazioni prive di una traccia documentale pubblica o etichettandole esplicitamente come “Nessuna fonte pubblica verificata disponibile” .

---

Introduzione: Traiettorie dei conflitti geopolitici e informatici (2025-2030)

L’escalation della contestazione nel cyberspazio è documentata nei report istituzionali del periodo 2024-2025 , con risultati convergenti secondo cui l’interruzione delle infrastrutture critiche, la compromissione della supply chain e l’abuso dell’identità cloud si intensificheranno fino al 2030 , rimodellando i rischi di escalation per Europa , Nord America e regioni adiacenti. Il rapporto “ENISA Threat Landscape 2024” dell’ENISA ( 19 settembre 2024 ) identifica sette principali categorie di minacce, con attacchi alla disponibilità in testa, seguiti da ransomware e minacce contro i dati , sulla base dell’analisi di diverse migliaia di incidenti segnalati pubblicamente; questa linea di base inquadra il rischio 2025-2030 in funzione della maturazione degli ecosistemi avversari piuttosto che di picchi episodici. ENISA Threat Landscape 2024 .

La granularità settoriale pubblicata da ENISA in “ENISA Threat Landscape: Finance Sector” ( 21 febbraio 2025 ) segnala una pressione sostenuta su pagamenti , core banking e infrastrutture di mercato da gennaio 2023 a giugno 2024 , evidenziando vulnerabilità che aggravano il rischio sistemico se combinate con estorsioni di perdite di dati transgiurisdizionali e attacchi DDoS . L’ambito temporale del rapporto consente inferenze future: è probabile che l’interesse crescente degli aggressori per l’orchestrazione dei messaggi finanziari, la federazione delle identità e i servizi gestiti dai fornitori persista nel periodo 2025-2030, dato il ritorno sugli investimenti documentato degli aggressori. ENISA Threat Landscape: Finance Sector .

La migrazione delle minacce verso i servizi dipendenti dallo spazio è accentuata dall ‘”ENISA Space Threat Landscape 2025″ dell’ENISA ( 26 marzo 2025 ), che mappa i rischi lungo il ciclo di vita del satellite ( sviluppo , distribuzione , operazioni , dismissione ) e li collega alle dipendenze terrestri come stazioni di terra , catene di uplink/downlink e cloud commerciale per la telemetria e lo sfruttamento dei dati; ciò introduce una superficie di attacco ampliata per gli stati che dipendono da GNSS , EO e satcom per coordinare la risposta alle crisi e la logistica energetica fino al 2030. ENISA Space Threat Landscape 2025 .

Le prove operative di tecniche distruttive contro l’Ucraina , il fulcro del conflitto che plasma l’ambiente informatico russo , sono state formalmente registrate dalla CISA nell’Avviso AA22-057A ( 26 febbraio 2022 ), catalogando “WhisperGate” , “HermeticWiper” , “CaddyWiper” e “IsaacWiper” con hash, comportamenti e mitigazioni; la paternità congiunta dell’avviso e i successivi aggiornamenti stabiliscono un corpus tecnico durevole per i difensori e corroborano che le capacità di classe wiper precedono, accompagnano o seguono le fasi cinetiche. CISA AA22-057A , AA22-057A PDF .

Gli schieramenti pre-invasione nell’ambito delle missioni Hunt Forward del Cyber Command statunitense sono riconosciuti in “Before the Invasion: Hunt Forward Operations in Ukraine” ( 28 novembre 2022 ), confermando le operazioni difensive condotte insieme alle controparti ucraine con la condivisione degli indicatori che hanno successivamente informato la posizione alleata; il registro pubblico ancora quindi le aspettative 2025-2030 di team informatici di spedizione continui, interconnettendo la telemetria tattica con gli aggiornamenti di resilienza dei partner. Articolo USCYBERCOM (PDF archiviato) , voce USCYBERCOM Cyber Vault .

La definizione del macro-rischio fornita dal World Economic Forum nel “Global Risks Report 2025” ( 15 gennaio 2025 ) colloca le minacce informatiche tra le principali preoccupazioni globali su orizzonti biennali , quinquennali e decennali , sulla base del Global Risks Perception Survey 2024-2025 condotto da oltre 900 esperti; la classifica interagisce con la disinformazione causata dai conflitti, la fragilità della catena di approvvigionamento e gli shock climatici, implicando scenari di eventi composti in cui le operazioni informatiche amplificano le crisi fisiche tra il 2025 e il 2030. Portale WEF Global Risks Report 2025 .

I parametri dottrinali e legali per la risposta alleata rimangono codificati nel “Concetto strategico 2022” della NATO ( 29 giugno 2022 ) e in pagine aggiuntive sulla difesa collettiva e sulla difesa informatica , che affermano che un attacco informatico potrebbe, in determinate circostanze, innescare consultazioni di difesa collettiva ai sensi dell’articolo 5 , costituendo così un deterrente strategico che influenza i cicli di pianificazione avversari nel periodo 2025-2030 . Concetto strategico NATO 2022 (PDF) , Difesa collettiva NATO , Difesa informatica NATO .

Aggiustamenti di postura lungimiranti sono visibili nei resoconti pubblici secondo cui la pianificazione offensiva informatica degli Stati Uniti contro la Russia è stata temporaneamente sospesa nel febbraio 2025 in attesa di una revisione delle politiche – un evento rilevante per la gestione dell’escalation e la segnalazione delle alleanze – riportato da The Record con successivi commenti corroboranti da parte di importanti testate; tali pause offrono un raro punto di dati empirico su come la leadership politica possa plasmare i ritmi operativi nella finestra 2025-2030 . The Record, 28 febbraio 2025 , POLITICO, 16 maggio 2025 , Washington Post, 4 marzo 2025 .

Le previsioni strategiche-tecnologiche pubblicate da RAND nel 2024-2025 , tra cui “Strategic Competition in the Age of AI” ( 9 settembre 2024 ), “Enhancing Space Mission Assurance to Cyber Threats” ( 2024 ), “Insuring Catastrophic Cyber Risk” ( maggio 2025 ) e scenari orientati all’AGI ( 2025 ), prevedono una maggiore integrazione dell’IA nella ricognizione, nella scoperta delle vulnerabilità e nell’orchestrazione della difesa, insieme ai rischi di governance irrisolti per i mercati cloud , satellitari e assicurativi ; queste analisi implicano che entro il 2030 , il rischio informatico sistemico sarà incluso nell’allocazione del capitale e nella pianificazione di emergenza sovrana, rafforzando il legame tra sicurezza informatica , regolamentazione macroprudenziale e politica industriale della difesa . RAND AI e strategia 2024 , RAND spazio-cyber 2024 , RAND rischio informatico catastrofico 2025 , RAND AGI futures 2025 .

Da queste fonti emergono tre implicazioni quantitative per il periodo 2025-2030 . In primo luogo , la frequenza e la portata degli incidenti mirati alla disponibilità rimarranno elevate rispetto al periodo 2019-2021 , data la classifica empirica di ENISA nel 2024 e la persistenza di tecniche DDoS-as-a-service a basso costo , riflessione volumetrica ed esaurimento del livello applicativo; ciò implica un requisito continuo per la mitigazione DDoS adattiva a livello ISP , IXP e cloud edge . ENISA Threat Landscape 2024. In secondo luogo , gli strumenti distruttivi contro i servizi statali, convalidati dagli avvisi tecnici CISA , saranno probabilmente riassegnati ai nodi adiacenti all’energia e alla logistica utilizzando playbook misti wiper/ransom , aumentando la probabilità di un degrado del servizio di più giorni durante i punti critici geopolitici. CISA AA22-057A . In terzo luogo , le comunicazioni abilitate dallo spazio e le dipendenze temporali amplieranno il raggio di esplosione possibile delle intrusioni terrestri, poiché la compromissione del segmento di terra delle comunicazioni satellitari può propagarsi alle operazioni della costellazione o alle reti dei clienti, aumentando la distribuzione delle perdite previste per gli incidenti a livello nazionale fino al 2030. ENISA Space Threat Landscape 2025 .

Queste osservazioni verificate convergono con la politica dell’alleanza. I documenti NATO del 2022 mantengono l’ambiguità dell’Articolo 5 sulle soglie in ambito informatico , preservando il valore deterrente fin dalla progettazione; combinati con le iniziative del 2025 per accelerare lo sfruttamento dei dati in tutta l’alleanza, suggeriscono che la telemetria interoperabile , l’identità federata e la fusione tra domini saranno prioritarie per comprimere gli intervalli tra rilevamento e risposta da giorni a ore nel periodo 2025-2030 . Concetto Strategico NATO 2022 , NATO: Notizie sulla strategia dei dati, 5 maggio 2025 .

Da questi documenti pubblici emergono implicazioni per l’infrastruttura informatica russa . I dispiegamenti documentati dell’USCYBERCOM e il rafforzamento delle relative strutture, le campagne di wiper convalidate, la mappatura delle minacce settoriali e spaziali dell’ENISA e la classificazione dei macro-rischi convalidata in modo incrociato dal WEF indicano che i prossimi cinque anni saranno caratterizzati da una pressione iterativa sui sistemi di telecomunicazioni , energia , trasporti e finanza attraverso tecniche già osservate nel 2022-2024 , potenziate dalla ricognizione basata sull’intelligenza artificiale e dalla leva della catena di approvvigionamento; la gestione dell’escalation, come evidenziato dal rapporto sulla sospensione dell’offensiva del febbraio 2025 , rimarrà politicamente contingente ed episodica piuttosto che puramente guidata dalle capacità. USCYBERCOM Hunt Forward (28 novembre 2022) , The Record (28 febbraio 2025) , ENISA ETL 2024 , WEF Global Risks Report 2025 .

La confluenza di prove istituzionali verificate provenienti da NATO , ENISA , CISA , USCYBERCOM , RAND e dal World Economic Forum stabilisce una base di elevata affidabilità per la proiezione delle dinamiche cyber-geopolitiche per il periodo 2025-2030 . La documentata posizione strategica delle nazioni alleate verso un impegno persistente , team informatici schierati in avanti e integrazione offensiva-difensiva dimostra che le capacità osservate nella difesa dell’Ucraina dal 2022 non sono isolate contingenze belliche, ma componenti di un modello operativo duraturo.

Nel contesto dell’infrastruttura informatica russa , le tendenze suggeriscono un’esposizione prolungata a campagne coordinate che combinano operazioni informatiche offensive a livello statale, mobilitazioni di volontari e facilitatori tecnologici commerciali. Entro il 2030 , si prevede che l’ambiente operativo sarà caratterizzato da:

• Scambio continuo di dati telemetrici transfrontalieri tra reti di difesa informatica alleate, che consente l’identificazione e la neutralizzazione di attività dannose in tempo quasi reale.
• Utilizzo esteso di strumenti di ricognizione potenziati dall’intelligenza artificiale per il rilevamento e lo sfruttamento delle vulnerabilità in contesti sia strategici che tattici, documentato in numerose proiezioni RAND .
• Maggiore dipendenza dalle infrastrutture satellitari e basate su cloud per il comando e il controllo nazionale, che aumenta anche le interdipendenze sistemiche e la portata delle potenziali interruzioni, come evidenziato nello Space Threat Landscape 2025 dell’ENISA .
• Meccanismi di risposta alle minacce pubblico-private istituzionalizzati che integrano le aziende tecnologiche globali nella pianificazione operativa alleata, convalidati dalle campagne Shields Up di CISA e dalle successive operazioni di disruption intersettoriali tra il 2023 e il 2025 .

I dati storici dal 2014 al 2025 mostrano una progressione costante: modernizzazione iniziale dei sistemi C4 ucraini basata su fondi fiduciari , evoluzione verso schieramenti congiunti difensivi e offensivi sostenuti, normalizzazione delle campagne ibride cyber-cinetiche e maggiore peso geopolitico attribuito alla cyber-posizione nelle strategie di difesa nazionale. Queste fasi non sono reversibili nel breve termine; influenzeranno il processo decisionale avversario, gli investimenti in capacità asimmetriche e le contromisure alleate per almeno il prossimo quinquennio.

In conclusione, le prove pubbliche e verificabili delineano un futuro in cui l’infrastruttura informatica russa rimarrà un obiettivo strategico primario in uno scenario di guerra sempre più conteso e tecnologicamente avanzato. Le operazioni informatiche non si limiteranno ad accompagnare le tensioni geopolitiche, ma fungeranno spesso da punta di diamante dell’arte di governare, plasmando il ritmo operativo, la segnalazione strategica e l’escalation della crisi nell’orizzonte 2025-2030 . La resilienza o la vulnerabilità di tale infrastruttura dipenderanno non solo dalle misure di rafforzamento interno, ma anche dall’evoluzione dell’ordine informatico globale, plasmato da alleanze, cicli di innovazione avversaria e dalla crescente integrazione di capacità offensive e difensive basate sull’intelligenza artificiale. La traiettoria, supportata dalle analisi istituzionali citate, conferma che il dominio digitale sarà sia un’arena indipendente di competizione strategica sia un moltiplicatore di forza in tutte le altre dimensioni del conflitto geopolitico.

Genesi istituzionale: fondi fiduciari della NATO e riforme della difesa informatica/C4 dell’Ucraina (2014-2019)

La documentazione primaria della NATO identifica il Fondo fiduciario per il Comando, Controllo, Comunicazioni e Computer (C4) per l’Ucraina come destinato a comunicazioni sicure, consapevolezza della situazione e modernizzazione dell’infrastruttura di comando, con nazioni leader tra cui Canada , Germania e Regno Unito , e alleati partecipanti dell’Europa centrale e orientale . Il Fondo fiduciario per la difesa informatica correlato era guidato dalla Romania , mentre il supporto logistico era guidato da Repubblica Ceca , Paesi Bassi e Polonia ( Scheda informativa del Fondo fiduciario NATO, 2016-2018 ). Questa architettura del fondo fiduciario, formalmente registrata negli strumenti di partenariato della NATO , ha stabilito una base materiale per l’aggiornamento delle reti sicure dell’Ucraina , l’inventario dei sistemi C4 legacy e la standardizzazione delle interfacce con le controparti NATO . L’accordo è corroborato dai materiali pubblici della NATO che descrivono in dettaglio lo scopo, le attività e le modalità di governance di ciascun fondo fiduciario ( Panoramica della NATO – Fondi fiduciari e progetti per l’Ucraina ).

Il ruolo di Estonia , Lituania e Polonia come partner ricorrenti per lo sviluppo delle capacità è coerente con le loro più ampie iniziative di cooperazione informatica regionale e riflette l’economia politica dell’assistenza alleata documentata nei rapporti di partenariato della NATO fino al 2018 , che inquadravano i progetti specifici per l’Ucraina come interventi mirati piuttosto che come aiuti generalizzati ( NATO Trust Fund Factsheet, 2018 ). I documenti ufficiali collocano la prima tranche di aggiornamenti C4 sostenuti dalla NATO e la pianificazione della difesa informatica nella finestra temporale successiva al 2014 , in linea con il ciclo di escalation post-Crimea e la priorità data ai collegamenti radio, satellitari e terrestri sicuri per le istituzioni di difesa ucraine .

La documentazione sottolinea gli standard modulari di finanziamento, audit e contrattualizzazione tipici della prassi della NATO Support and Procurement Agency , garantendo che la fornitura di equipaggiamenti e l’addestramento fossero integrati in catene di approvvigionamento verificabili. Combinati con i successivi programmi UE e bilaterali, questi fondi fiduciari hanno avviato un percorso per integrare l’Ucraina negli accordi di cyber situational awareness degli Alleati, in linea con le contemporanee dichiarazioni della NATO sul supporto ai partner e sul rafforzamento della resilienza per le comunicazioni critiche.

Postura operativa: USCYBERCOM Hunt Forward in Ucraina e riconoscimento pubblico delle attività offensive (2021-2022)
Un articolo ufficiale dell’USCYBERCOM , “Prima dell’invasione: operazioni Hunt Forward in Ucraina”, datato 28 novembre 2022 , registra che il personale della Cyber National Mission Force ha eseguito una missione Hunt Forward pre-invasione all’interno dell’Ucraina , condividendo indicatori di compromissione e campioni di malware con difensori e partner ucraini , sottolineando al contempo la raccolta di telemetria difensiva e la collaborazione bilaterale ( USCYBERCOM News, 28 novembre 2022 ). In dichiarazioni pubbliche concomitanti, il generale Paul Nakasone ha confermato che gli hacker militari statunitensi avevano “condotto una serie di operazioni su tutto lo spettro; offensive, difensive e operazioni di informazione”, descrivendo le attività come legittime e sotto la supervisione civile ( Sky News, 1 giugno 2022 ).

La pubblicazione dell’USCYBERCOM colloca la presenza di Hunt Forward in Ucraina prima dell’invasione su vasta scala, allineandosi alle tempistiche open source di distribuzione di malware contro le reti ucraine tra gennaio e febbraio 2022 , inclusi WhisperGate , HermeticWiper e famiglie correlate identificate in avvisi congiunti ( CISA Advisory AA22-057A, 26 febbraio 2022 ). L’impronta di Hunt Forward pre-invasione è ulteriormente citata nel lavoro analitico pubblicato dall’Asymmetric Threats Analysis Center presso il programma START dell’Università del Maryland , che cita i resoconti dell’USCYBERCOM e della BBC e afferma che circa 40 persone sono state dispiegate, con una collaborazione che comprendeva sia aspetti difensivi che offensivi con l’intensificarsi del conflitto ( START US Assistance to Ukraine in the Information Space, 2023-2024 ).

Nello stesso periodo, il governo degli Stati Uniti ha emesso avvisi formali di allarme in merito alla presenza di malware distruttivi in Ucraina e ha emanato linee guida di mitigazione per le reti nazionali e alleate, rafforzando la posizione secondo cui le unità informatiche partner si stavano preparando e rispondendo a intrusioni aggressive con la condivisione di indicatori in tempo reale ( CISA Advisory AA22-057A, febbraio 2022 ).

Mobilitazione dei volontari: l'”esercito informatico dell’Ucraina”, compiti tramite Telegram e valutazioni accademiche (2022-2024)

Il lancio pubblico dell’ “Esercito IT dell’Ucraina” è avvenuto il 26 febbraio 2022 , tramite canali Telegram , orchestrando liste di attività contro le risorse digitali russe . Questo fenomeno è stato studiato in modo approfondito dal Centro per gli studi sulla sicurezza dell’ETH di Zurigo in un cyber-report del 10 giugno 2022 che ha mappato ruoli, canali di comunicazione e relazioni con le comunità ausiliarie ( ETH Zürich CSS Cyberdefense Report, 10 giugno 2022 ). Le metriche di partecipazione nella fase iniziale documentate dai principali media hanno indicato una rapida crescita degli abbonamenti fino a centinaia di migliaia nel giro di poche settimane, illustrando la portata degli attacchi DDoS e dei siti web in crowdsourcing che hanno accompagnato il fronte cinetico ( WIRED, marzo 2022 ).

Gli studi successivi del CSS dell’ETH di Zurigo hanno descritto l’ esercito informatico come un ente né completamente civile né militare, situato in una zona grigia che sollevava interrogativi sul diritto bellico e sulla sovranità. Gli studi hanno fornito istantanee empiriche di canali, obiettivi e circolazione di scanner e artefatti di assegnazione delle missioni ( ETH Zürich CSS Preprint, 2023 ).

I premi conferiti al CYBERSEC Forum/EXPO di Katowice tra maggio e giugno 2022 hanno riconosciuto pubblicamente il vice primo ministro Mykhailo Fedorov e l’ Ucraina “per aver difeso lo spazio digitale ucraino e costruito il potere informatico ucraino”, con il riepilogo ufficiale della conferenza del 2022 che registra il premio europeo CYBERSEC e la motivazione di “difendere le linee del fronte digitale del mondo democratico” ( Riepilogo del CYBERSEC Forum/EXPO 2022, giugno 2022 ).

Impennata pubblico-privato: il Dipartimento di Stato degli Stati Uniti e la CISA rafforzano le misure di connettività con il cloud e l’identità rafforzata (2022-2025)

Una scheda informativa del Dipartimento di Stato degli Stati Uniti datata 10 maggio 2022 descrive uno sforzo coordinato degli Stati Uniti per rafforzare la resilienza digitale dell’Ucraina , tra cui l’inserimento di oltre 20 esperti tecnici nelle istituzioni ucraine , la facilitazione della migrazione dei dati verso ambienti cloud sicuri e la fornitura di risorse per le comunicazioni di emergenza e la risposta agli incidenti informatici ( Scheda informativa del Dipartimento di Stato degli Stati Uniti, 10 maggio 2022 ).

Parallelamente, la Cybersecurity and Infrastructure Security Agency (CISA) ha attivato avvisi “Shields Up” e avvisi specifici per settore riguardanti minacce sponsorizzate dallo Stato russo e famiglie di malware distruttivi, pubblicando indicatori tecnici attuabili e manuali di mitigazione per WhisperGate , HermeticWiper , CaddyWiper e toolchain correlate da gennaio a marzo 2022 in poi ( portale CISA Shields Up , avviso CISA AA22-057A, 26 febbraio 2022 ).

Successivi avvisi congiunti di CISA-FBI-NSA nel settembre 2024 hanno documentato le tecniche di accesso alle credenziali, movimento laterale e proxy multi-hop della GRU Unit 29155 , legate alle operazioni che hanno fatto seguito a precedenti campagne distruttive ( avviso CISA-FBI-NSA AA24-249A, 5 settembre 2024 ).

Anche le agenzie informatiche indipendenti del settore pubblico in Europa hanno pubblicato valutazioni continue dei rischi di ricaduta del conflitto. Il rapporto annuale dell’ENISA sul panorama delle minacce per il 2024-2025 ha sottolineato la normalizzazione delle attività informatiche distruttive e dirompenti come strumenti di governo, documentando gli attacchi transfrontalieri contro infrastrutture, vettori della catena di approvvigionamento e mobilitazioni DDoS , con l’Ucraina che rimane il principale asse geopolitico dell’attenzione informatica russa ( ENISA Threat Landscape 2024 ).

I post pubblici di Google Threat Analysis Group dell’aprile 2023 hanno segnalato che l’Ucraina continuava a essere il principale obiettivo informatico della Russia , offrendo casi di studio di cluster collegati a GRU e di attacchi al settore energetico ( Google TAG, 19 aprile 2023 ).

Pipeline di tasking e impronte di hosting: attribuzioni sollevate all’OSCE e mappate dal CSS dell’ETH di Zurigo (2022)

Una dichiarazione formale rilasciata da Maxim Buyakevich , Vice Rappresentante Permanente della Federazione Russa presso l’ OSCE , alla 1355a riunione del Consiglio permanente dell’OSCE il 23 giugno 2022 , ha affermato che i “volontari informatici” hanno sfruttato Hetzner in Germania , DigitalOcean negli Stati Uniti e piattaforme tra cui “War.Apexi.Tech” e “Ban-Dera.com” per condurre campagne DDoS di massa, facendo riferimento anche ai “server di Google” nella stessa accusa ( dichiarazione OSCE PC.DEL/962/22, 23 giugno 2022 ). L’ analisi del Centro per gli studi sulla sicurezza dell’ETH di Zurigo sull’ “Esercito IT dell’Ucraina” del 10 giugno 2022 ha documentato l’assegnazione di compiti Telegram aperti , elencato comunità ausiliarie e discusso le menzioni di Hacken OÜ in Estonia come nodo all’interno dei flussi di informazioni relativi al targeting crowdsourcing, caratterizzando la mobilitazione come occupante una zona grigia legale e strategica tra l’hacktivismo civile e l’azione allineata allo Stato ( ETH Zürich CSS Cyber Report, 10 giugno 2022 ). Il documento dell’OSCE costituisce un’accusa diplomatica da parte della Federazione Russa ; una convalida tecnica indipendente che colleghi il traffico DDoS specifico ai servizi commerciali nominati o alle strutture “Google Global Cache” in Russia non è stata fornita in pubblicazioni forensi ufficiali o sottoposte a revisione paritaria ad agosto 2025. Nessuna fonte pubblica verificata disponibile. Laddove la mappatura CSS dell’ETH Zürich fa riferimento a infrastrutture di terze parti in termini descrittivi, lo fa per illustrare ecosistemi osservabili piuttosto che per affermare un’attribuzione aggiudicata, in linea con la cautela metodologica presente negli studi accademici sui conflitti informatici ( ETH Zürich CSS Cyber Report, giugno 2022 ).

Vettori di targeting e tecniche di attacco: risultati CISA-FBI-NSA sull’unità GRU 29155 e sulle famiglie di malware distruttivi (2022-2024)

Il rapporto tecnico congiunto del CISA , del Federal Bureau of Investigation e della National Security Agency del 5 settembre 2024 ha dettagliato le “Operazioni informatiche militari russe mirate alle infrastrutture critiche globali” , attribuendo l’attività all’unità GRU 29155 e documentando tecniche tra cui l’accesso alle credenziali , il movimento laterale , le architetture proxy multi-hop e il tunneling DNS , mappate sugli identificatori MITRE ATT&CK e accompagnate da concrete indicazioni di rilevamento e mitigazione ( CISA–FBI–NSA Advisory AA24-249A, 5 settembre 2024 ; mirror PDF DoD ). Precedenti avvisi relativi all’Ucraina del 26 febbraio 2022 elencavano famiglie di malware distruttivi – “WhisperGate” , “HermeticWiper” , “CaddyWiper” e “IsaacWiper” – con hash, indicatori comportamentali e mitigazioni graduali, che riflettevano i tentativi preparatori e di fase iniziale di compromettere il governo ucraino e i servizi critici nel periodo gennaio-febbraio 2022 ( CISA AA22-057A, 26 febbraio 2022 ). Gli avvisi del settore pubblico di CISA, FBI e NSA costituiscono una base autorevole per la valutazione delle tecniche di attacco rilevanti per gli attacchi osservati contro le reti ucraine e alleate, compresi quelli con potenziale di ricaduta sull’infrastruttura informatica russa attraverso fornitori condivisi, reti di transito o servizi mirror in domini di routing contestati. Il collegamento longitudinale tra gli strumenti distruttivi del 2022 e gli attacchi alle infrastrutture critiche globali del 2024 sottolinea la continuità delle procedure degli operatori e fornisce ai difensori contromisure empiricamente fondate e istituzionalmente verificate che restano applicabili negli ambienti aziendali del 2025 .

Economie fraudolente e intrusioni tramite telefonia: azioni condotte da Europol che riguardano l’Ucraina e le giurisdizioni dell’UE (2022-2025)

I comunicati stampa ufficiali di Europol tra il 2022 e il 2025 documentano lo smantellamento coordinato di reti di frode transfrontaliera che coinvolgono l’Ucraina e diversi Stati membri dell’UE . Tra i casi degni di nota figurano l’arresto di nove sospettati in Ucraina per campagne di phishing su larga scala sui social media rivolte a vittime nell’Unione Europea e oltre ( Europol News, febbraio 2025 ), nonché lo smantellamento di una rete di truffe sugli investimenti che ha causato danni multimilionari, coordinata da Europol , Eurojust e agenzie di polizia nazionali ( Europol News, maggio 2025 ).

Altre azioni documentate includono il supporto alla polizia ceca e ucraina nello smantellamento di una banda di phishing vocale nel 2023 , con prove di ingenti perdite finanziarie per i cittadini europei ( Europol News, 2023 ). Queste operazioni forniscono prove verificabili di frodi ai call center legate all’Ucraina, ma non confermano le affermazioni non verificate di oltre 1.000 call center , oltre 100.000 dipendenti o oltre il 90% di esse che prendono di mira cittadini russi . Per queste statistiche specifiche, non è disponibile alcuna fonte pubblica verificata .

Un rapporto analitico della Global Initiative Against Transnational Organized Crime del luglio 2025 identifica Dnipro come un importante snodo dell’economia illecita ucraina durante la guerra, evidenziando la persistenza di frodi telefoniche e nei call center anche in condizioni di legge marziale ( Global Initiative Report, 4 luglio 2025 ). Il rapporto sottolinea che tali operazioni sfruttano sempre più il mascheramento VoIP, il riciclaggio di denaro multinazionale e i sistemi di prelievo basati su criptovaluta, tattiche che complicano l’attribuzione e l’azione penale nelle diverse giurisdizioni.

Incidenti e interruzioni degni di nota: violazione di Kyivstar, ecosistemi DDoS filo-russi e azione “Eastwood” di Europol del 2025
Nel dicembre 2023 , Kyivstar , il più grande operatore di telefonia mobile ucraino, ha subito un grave attacco informatico rivendicato dal gruppo filo-russo “Solntsepek” , che i ricercatori di sicurezza hanno collegato a Sandworm , un’unità informatica associata al GRU . L’incidente ha interrotto le comunicazioni mobili, l’accesso a Internet e alcuni sistemi di allerta pubblica, con un impatto valutato come la più grave interruzione delle telecomunicazioni in Ucraina da febbraio 2022 ( WIRED , 13 dicembre 2023 ).

Sul fronte offensivo rivolto agli attori filo-russi, Europol ha annunciato nel luglio 2025 i risultati dell’Operazione Eastwood , un’operazione coordinata di smantellamento del collettivo DDoS NoName057(16) , che ha coinvolto le forze dell’ordine di Francia , Germania , Paesi Bassi , Stati Uniti e altri. L’operazione ha portato al sequestro o alla disattivazione di oltre 100 server, all’arresto di numerosi sospettati e all’emissione di mandati di cattura aggiuntivi ( Associated Press , luglio 2025 ). Questa è stata una delle prime azioni congiunte di alto profilo a colpire specificamente le infrastrutture DDoS filo-russe su larga scala durante il conflitto.

Coordinate politiche e legali: borsa di studio NATO CCDCOE, dichiarazioni alleate e rapporto di sospensione dell’offensiva del febbraio 2025

Il Centro di Eccellenza per la Difesa Cibernetica Cooperativa della NATO (CCDCOE) gestisce un ampio archivio di studi giuridici e operativi sui conflitti informatici, tra cui analisi di sovranità, due diligence e dottrine di contromisura direttamente rilevanti per il coinvolgimento di formazioni di volontari allineate agli Stati come l’ “Esercito IT dell’Ucraina” ( CCDCOE Resource Hub ). Questi materiali forniscono il quadro giuridico internazionale in base al quale valutare le operazioni informatiche sia alleate che avversarie, in particolare in contesti in cui attribuzione, controllo e proporzionalità sono controversi.

Le dichiarazioni diplomatiche del Dipartimento di Stato americano e dell’Unione Europea del maggio 2022 hanno formalmente attribuito le attività informatiche dannose contro l’Ucraina ai servizi militari e di intelligence russi , inquadrando il conflitto in una strategia più ampia di misure di resilienza coordinate tra Stato e settore privato ( Dipartimento di Stato americano, 10 maggio 2022 ). Queste dichiarazioni non solo hanno rafforzato la legittimità dell’assistenza informatica alleata all’Ucraina, ma hanno anche stabilito un primato diplomatico pubblico che collega campagne specifiche a entità statali russe.

Nel febbraio 2025 , un’inchiesta giornalistica di The Record ha rivelato che il Segretario alla Difesa Pete Hegseth aveva emesso una direttiva per sospendere temporaneamente alcune operazioni informatiche offensive condotte dal Cyber Command degli Stati Uniti , citando la necessità di una revisione delle politiche e di una valutazione dei rischi ( The Record , 28 febbraio 2025 ). Sebbene la durata e la portata operativa di questa pausa rimangano riservate, la decisione rappresenta uno dei pochi casi pubblicamente riconosciuti di intervento ad alto livello per ricalibrare la postura offensiva degli Stati Uniti nel mezzo di un conflitto informatico in corso.

Implicazioni strategiche per l’infrastruttura informativa russa: resilienza, punti di esposizione e plausibili traiettorie di rischio (2025)

La documentazione verificata dimostra che l’attività persistente degli alleati, tra cui la modernizzazione sponsorizzata dalla NATO delle capacità di difesa informatica e C4 dell’Ucraina , le operazioni offensive e Hunt Forward riconosciute dal Cyber Command degli Stati Uniti e gli sforzi di rafforzamento sostenuti coordinati da CISA , ENISA e importanti aziende tecnologiche, ha significativamente rimodellato l’ambiente operativo informatico che la Russia si trova ad affrontare dal 2014 , con una marcata intensificazione dopo il 2022 .

Le dichiarazioni ufficiali dell’OSCE che descrivono le piattaforme di hosting e i servizi di tasking associati alle attività informatiche anti-russe, combinate con la mappatura accademica dell’ “Esercito IT dell’Ucraina” , rivelano una capacità distribuita e persistente di mobilitazione di massa di attacchi dirompenti. Tuttavia, laddove le affermazioni si estendono ad accuse operative altamente specifiche – come l’uso diretto di apparecchiature “Google Global Cache” in Russia per la ricognizione, o la confermata cooperazione tra l’Unità 8200 e aziende private nominate per supportare l’ Esercito IT – non è disponibile alcuna fonte pubblica verificata .

Le prove istituzionali – dagli audit sugli appalti dei fondi fiduciari alle consulenze tecniche congiunte CISA-FBI-NSA e alle operazioni multigiurisdizionali di Europol – dimostrano che l’infrastruttura informatica russa rimane un obiettivo strategico duraturo all’interno di un teatro di conflitto informatico globalizzato. La natura della minaccia è caratterizzata da una pianificazione operativa sostenuta dallo Stato, dal potenziamento delle forze volontarie, da facilitatori tecnici transfrontalieri e da un obiettivo a lungo termine di degradare la resilienza dei settori governativo, finanziario, dei trasporti ed energetico. Entro il 2025 , la convergenza di questi elementi ha consolidato un contesto informatico duraturo e internazionalizzato in cui le reti e le risorse digitali russe sono sia obiettivi ad alta priorità che partecipanti attivi in attività offensive reciproche.

---

Copyright di debugliesintel.com
La riproduzione anche parziale dei contenuti non è consentita senza previa autorizzazione – Riproduzione riservata