Il Ministero della Difesa ha pubblicato il documento strategico “Non-paper sul contrasto alla guerra ibrida”, una proposta operativa che delinea una visione politico-strategica per affrontare quella che viene definita una minaccia sistemica contro le democrazie contemporanee.

La componente cibernetica emerge come asse portante della competizione ostile, integrata nelle operazioni di influenza, sabotaggio, spionaggio e manipolazione cognitiva condotte da attori statuali e non statuali.

Il cyberspazio è presentato come dominio operativo ormai permanente, teatro di uno scontro sottosoglia che mira a erodere progressivamente la resilienza di infrastrutture critiche, processi democratici e coesione sociale.

Cos’è la guerra ibrida

La guerra ibrida è una forma di conflitto non convenzionale, spesso priva di scontri cinetici, ma caratterizzata da un uso combinato di strumenti diplomatici, economici, cibernetici, informativi e militari.

Gli attori ostili sfruttano la difficoltà di attribuzione delle operazioni nel dominio cyber, rendendo le interferenze meno visibili e più difficili da contrastare.

Nel documento, il dominio cibernetico si definisce come il punto di coesione tra sabotaggio, spionaggio, propaganda e distorsione cognitiva, un livello operativo trasversale che consente di condurre operazioni ostili senza superare formalmente la soglia dell’atto di guerra.

I dati dell’ACN

Il contesto delineato si basa su dati concreti. Secondo i dati dell’Agenzia per la Cybersicurezza Nazionale, nel primo semestre 2025 sono stati gestiti 1.549 eventi cyber, con un aumento del 53% rispetto al primo semestre dell’anno precedente.

Gli incidenti con impatto confermato sono stati 346, quasi raddoppiati. Settori critici come sanità e manifatturiero risultano tra i più bersagliati.

L’uso del ransomware persiste come tecnica prevalente per estorcere risorse,
bloccare servizi essenziali o acquisire informazioni strategiche.

L’intento è duplice: indebolire operativamente la capacità dello Stato e generare incertezza nella popolazione e nelle istituzioni.

L’uso del cyber

Gli episodi più recenti della storia della sicurezza informatica confermano l’uso del cyber come strumento ibrido: l’attacco SolarWinds nel 2020 ha compromesso una catena di fornitura software globale, mentre WannaCry e NotPetya hanno causato danni economici per miliardi di dollari e interruzioni in ospedali, trasporti e servizi pubblici.

La compromissione del Colonial Pipeline nel 2021 ha mostrato come un’azione cibernetica possa avere conseguenze immediate sul funzionamento fisico delle infrastrutture energetiche, generando effetti a cascata anche sulla percezione della sicurezza nazionale.

Operazioni sempre più automatizzate con la GenAI

L’evoluzione del dominio cognitivo integra questo quadro operativo. Le campagne di disinformazione, amplificate dall’uso di botnet, deepfake (video – e non solo – falsi generati dall’intelligenza artificiale) e micro-targeting, mirano a distorcere la percezione della realtà.

L’obiettivo è minare la fiducia nelle istituzioni, amplificare divisioni culturali o politiche e indebolire la coesione interna del Paese bersaglio.

Il documento evidenzia come questa forma di minaccia sia ormai sistemica: ogni crisi viene accompagnata da narrazioni ostili, coordinate attraverso canali online e account apparentemente spontanei, ma riconducibili ad attori aggressivi.

Queste operazioni sono sempre più automatizzate grazie all’intelligenza artificiale generativa, che consente di produrre contenuti ingannevoli su larga
scala e con alta verosimiglianza.

Contrasto alla guerra ibrida: le mosse europee

L’Europa sta adottando contromisure su più livelli. La Direttiva NIS2, il Cyber Resilience Act e il Digital Operational Resilience Act hanno introdotto obblighi di sicurezza più stringenti rispettivamente per entità essenziali e importanti, per i fabbricanti di prodotti con elementi digitali e per gli operatori del settore finanziario.

Il nuovo Cyber Solidarity Act introduce forme rafforzate di cooperazione paneuropea, mentre con la Joint Cyber Unit viene formalizzato un coordinamento operativo per risposte congiunte.

Parallelamente, l’Ue ha istituito unità di risposta rapida contro le interferenze straniere (Hybrid Rapid Response Teams) e un insieme di strumenti interistituzionali per l’analisi e il contrasto delle operazioni di manipolazione informativa (FIMI Toolbox).

La risposta della Nato

In ambito Nato, il dominio cyber è stato riconosciuto come quinto dominio operativo, al pari di terra, mare, aria e spazio. Ogni alleato è chiamato a sviluppare capacità militari cibernetiche integrate con la postura di difesa complessiva.

Centri come il Nato Cooperative Cyber Defence Centre of Excellence di Tallinn e l’Hybrid CoE di Helsinki forniscono una base analitica e dottrinale per sviluppare modelli di contrasto armonizzati.

La combinazione di strumenti come il VCISC (Virtual Cyber Incident Support Capability) e la rete SCEPVA (Sovereign Cyber Effects Provided Voluntarily by Allies) consente di affiancare agli aspetti militari veri e propri un supporto tecnico alle infrastrutture civili.

Italia: un’Arma cyber e un Centro per il contrasto alla guerra ibrida

Il documento italiano propone la creazione di un’Arma cyber, strutturata con una forza obiettivo di almeno 5.000 unità operative e la costituzione di un “Centro per il Contrasto alla Guerra Ibrida”, con un ruolo di comando e controllo e di raccordo tra le istituzioni nazionali e il mondo accademico nel contrasto alla guerra ibrida.

Questa visione si fonda sul ruolo sempre più centrale del dominio cyber come strumento di difesa nazionale e deterrenza strategica.

Si riconosce inoltre la necessità di una “riserva cyber”, con personale volontario altamente qualificato, in linea con le esperienze dei riservisti cyber adottate in Paesi alleati come Germania e Francia.

Il documento menziona anche la possibilità di attivare programmi di formazione e partnership con le università per consolidare le competenze necessarie a far fronte alla minaccia in evoluzione.

Il legame fra pressione fisica e digitale

Il nesso tra pressione militare e coercizione geo-economica emerge chiaramente nell’analisi del documento.

Episodi come le interferenze nel Mar Rosso, con attacchi condotti da proxy agli interessi commerciali occidentali, rappresentano manifestazioni della guerra ibrida.

La capacità di colpire infrastrutture logistiche strategiche, come la rotta Suez-Mediterraneo, si integra con misure economiche più sottili, come il controllo delle esportazioni di materie critiche.

Si crea così un continuum tra pressione fisica e pressione digitale.

Sinergia tra attori pubblici e privati: approccio proattivo per il contrasto alla guerra ibrida

La strategia delineata nel documento riconosce un concetto chiave: contenere non basta.

La natura pervasiva e persistente della guerra ibrida richiede un approccio proattivo, con capacità di previsione, rilevazione tempestiva e risposta coordinata.

Questo implica una sinergia tra attori pubblici e privati, con rafforzamento dei processi di intelligence condivisa e della capacità di attribuzione tecnica.

Lo scontro è già in atto e si svolge quotidianamente sotto la soglia della guerra dichiarata.

La sfida consiste nel costruire una postura di deterrenza credibile, che riduca i margini di manovra degli attori ostili e renda troppo rischioso l’uso strumentale della minaccia cyber nei confronti dell’Italia e dell’Europa.