C’è un pregiudizio piuttosto duro a morire: l’idea che lo spazio sia un dominio “altro”, qualcosa di slegato dalla sicurezza dei nostri server in ufficio o dalle linee di produzione qui in Italia.

In realtà. oggi, il perimetro aziendale non finisce più al firewall, ma arriva a 36.000 chilometri di altezza.

La convergenza tra l’intelligenza artificiale cinese, il quantum computing e le infrastrutture satellitari è forse la sfida più complessa della nostra epoca, perché unisce la velocità pura del software alla fisica delle orbite.

Mentre leggete, la strategia di Pechino nota come “Harvest Now, Decrypt Later” (HNDL) ha smesso di essere un esercizio accademico per diventare un rischio operativo concreto.

Molte aziende italiane guardano ancora solo a terra, mentre la minaccia viaggia a 27.000 km/h sopra le loro teste.

Il triangolo del rischio: AI, quantum e spazio

I report dell’ENISA per il biennio 2025-2026 e le analisi del BSI tedesco parlano chiaro: la Cina ha integrato con successo agenti AI nei propri satelliti quantistici sperimentali.

Non stiamo parlando solo di record di distanza (hanno già superato i 10.000 km per la distribuzione di chiavi quantistiche QKD), ma di una vera AI-Offensive automatizzata:

• Saturazione satellitare: L’AI viene usata per mappare in tempo reale le vulnerabilità delle costellazioni LEO europee, individuando i punti deboli delle comunicazioni in pochi millisecondi.
• Quantum readiness: Mentre l’Europa punta al 2030-2035 per la migrazione, il progetto europeo Quantity e le varie agenzie di intelligence avvertono che il “Quantum Day” potrebbe arrivare molto prima. I dati che archiviamo oggi potrebbero essere decriptati tra pochi anni (o persino mesi).

Il ruolo della strategia nazionale italiana: ACN

In questo scenario di estrema complessità, l’ACN (Agenzia per la Cybersicurezza Nazionale) gioca un ruolo determinante per la resilienza del Sistema Paese.

Attraverso il monitoraggio costante del CSIRT Italia e l’attività di scrutinio del CVCN (Centro Valutazione e Certificazione Nazionale), l’Agenzia coordina la transizione verso algoritmi post-quantici e garantisce che le infrastrutture critiche italiane – incluse quelle dipendenti dallo spazio – adottino standard di sicurezza idonei a fronteggiare attacchi asimmetrici, riducendo la dipendenza da tecnologie extra-UE non verificate.

Il quadro normativo 2026: NIS2 e DORA come scudi attivi

In Italia, il 2026 è l’anno della verità. La “compliance formale” non basta più:

• NIS2 (Direttiva UE 2022/2555): Entro ottobre 2026, l’Italia dovrà aver recepito pienamente le sanzioni per i dirigenti che non monitorano la supply chain. Se il vostro fornitore cloud usa infrastrutture satellitari non verificate o hardware con backdoor AI, la responsabilità legale ricade su di voi.
• DORA (Digital Operational Resilience Act): Per chi lavora nel settore finanziario, i test di resilienza del 2026 devono ora includere scenari di Jamming o Spoofing (disturbo o falsificazione del segnale) potenziati dall’intelligenza artificiale.

Oltre lo spionaggio: la fusione civile-militare

Dobbiamo guardare alla strategia di Pechino con occhio critico. La loro dottrina di “fusione civile-militare” trasforma ogni satellite commerciale in un potenziale nodo d’attacco.

Immaginate satelliti dotati di processori AI che eseguono scansioni autonome delle nostre reti terrestri dall’alto, identificando falle nelle Ground stations e lanciando attacchi di “protocol poisoning” prima ancora che i nostri SOC se ne accorgano.

Il rischio è che un’AI a bordo decida autonomamente di alterare la telemetria o iniettare codice malevolo nei flussi dati delle nostre PMI, magari manipolando i segnali GNSS per mandare fuori rotta la logistica automatizzata di una fabbrica o falsare i timestamp delle transazioni finanziarie.

Cigno nero e Crypto-Agility: l’illusione della sicurezza

Come ci ricordava Nassim Nicholas Taleb nel suo saggio “Il Cigno nero”, tendiamo per natura a imparare dall’esperienza e dalla ripetizione: ci concentriamo ossessivamente su ciò che già sappiamo, trascurando sistematicamente l’ignoto.

È proprio questa pigrizia mentale a lasciarci indifesi davanti all’imprevisto, che si tratti di mercati finanziari o della nostra quotidianità.

Oggi, quel “salto nel buio” che ci rifiutiamo di guardare ha un nome preciso: la minaccia quantistica.

Non è un pericolo futuro, ma una partita a scacchi che si gioca su due fronti asimmetrici. Se da un lato la Cina sta blindando le proprie comunicazioni investendo miliardi nella cifratura quantistica, dall’altro sta potenziando una capacità di calcolo senza precedenti dedicata alla “decryption” dei sistemi altrui.

Questa asimmetria dà vita a un rischio che molti sottovalutano, ma che è già operativo: la strategia “Harvest Now, Decrypt Later” (Raccogli ora, decifra poi). Non dobbiamo immaginare un hacker che entra nei nostri sistemi domani mattina; sta già accadendo.

I segreti industriali, i brevetti e le comunicazioni strategiche che transitano oggi su canali satellitari protetti da protocolli standard vengono intercettati e messi “in cassaforte”.

Sono dati inutilizzabili oggi, ma pronti per essere esposti non appena i computer quantistici cinesi saranno pienamente operativi.

In questo scenario, la nostra attuale difesa è già obsoleta. Non serve solo essere “sicuri”, bisogna essere agili.

È qui che entra in gioco la Crypto-Agility, un concetto oggi centrale nei framework europei: la capacità di un’azienda di aggiornare i propri algoritmi di cifratura senza dover smantellare l’intera infrastruttura.

Se i nostri dati non sono protetti oggi da algoritmi post-quantici (PQC), stiamo consegnando il nostro futuro industriale a chi avrà la chiave per aprirli tra pochi mesi o anni.

Matrice delle minacce e strategie di remediation (2026)

Tradurre la minaccia in azione: 3 pilastri per le PMI

Se la vostra azienda è soggetta a DORA o NIS2, la remediation non è solo un fatto tecnico, ma procedurale:

• Revisione contrattuale: non verificate solo il fornitore IT. Chiedete ai provider satellitari (Starlink, Eutelsat eccetera) la loro roadmap sulla “Quantum Readiness”. L’Articolo 21 della NIS2 vi rende responsabili della catena di approvvigionamento.
• Incident response: aggiornate i vostri playbook. Un’anomalia nel segnale satellitare non è un semplice “guasto tecnico”, va trattata come un potenziale attacco cyber.
• Stress test: includete scenari di “corruzione del dato satellitare”. La firma digitale e l’hashing dei dati devono diventare lo standard.

Guida operativa per il contesto Italiano

In Italia, il 2026 segna il passaggio dalle slide alle sanzioni. Ecco come muoversi per la Pubblica Amministrazione e per le Pmi (oltre il fatturato):

Per la Pubblica Amministrazione:

• PQC Roadmap: entro il 31 dicembre 2026 l’Italia deve definire la strategia per la crittografia Post-Quantica, dando priorità ai dati sanitari e ai segreti di Stato.
• Sovranità digitale: Incentivare tecnologie europee per ridurre la dipendenza da hardware extra-UE a rischio backdoor.

Per le PMI (oltre il fatturato):

• Se avete più di 50 dipendenti o oltre 10 milioni di fatturato in settori critici (energia, salute, chimica, trasporti), siete nel perimetro NIS2.
• scadenza 1 ottobre 2026: obbligo di avere un piano di gestione del rischio documentato.
• Responsabilità del management: la novità è che i dirigenti rispondono personalmente. La sicurezza non è più un problema delegabile all’ufficio IT.

Consigli pratici:

• Identità: usate token hardware (FIDO2) per proteggervi dai deepfake AI.
• Supply chain: richiedete la SBOM (Software Bill of Materials) per escludere codice non verificato.
• Quantum: Iniziate a mappare dove usate RSA o ECC per pianificare il passaggio a Kyber o Dilithium.
• AI Act, registro degli algoritmi: Se usi AI per il recruiting o la sicurezza, devi documentarne il funzionamento per l’AI Act (Piena operatività agosto 2026).

Checklist per la supply chain (Audit NIS2 – D.lgs. 138/2024):

• mappare i sub-fornitori critici, distinguendo chi gestisce dati sensibili;
• inserire clausole contrattuali sui livelli di sicurezza minimi NIS2;
• richiedere un piano di risposta agli incidenti con pre-notifica entro 24 ore;
• verificare l’adozione di MFA su tutti gli accessi remoti e privilegiati;
• richiedere la SBOM per identificare librerie extra-UE;
• interrogare il fornitore sulla roadmap per l’adozione della crittografia post-quantica;
• assicurarsi che il personale del fornitore sia formato sui rischi di social engineering AI;
• pretendere report periodici sulle attività di patching e vulnerability management;
• testare annualmente la business continuity in caso di interruzione dei segnali satellitari;
• mantenere il diritto di effettuare audit periodici o richiedere certificazioni terze (ISO 27001).

Il 2026 è l’anno dell’esecuzione

Il messaggio per il 2026 è brutale: non è più l’anno delle previsioni, ma dell’esecuzione. La minaccia non è più solo un malware, ma una scacchiera globale dove i qubit sono i pezzi e l’orbita terrestre è il campo da gioco.

La sicurezza oggi è una questione di sopravvivenza legale e di continuità del business. Ignorare ciò che accade sopra le nostre teste significa accettare di essere l’ultimo a scoprire che le regole del gioco sono cambiate.