Era il febbraio 2025 e il Presidente della Repubblica Sergio Mattarella, in un discorso all’Università di Marsiglia, paragonò l’offensiva russa in Ucraina alle guerre di conquista condotte nel Terzo Reich: nei giorni successivi, numerose agenzie ed enti pubblici italiani furono colpiti da attacchi informatici rivendicati da gruppi cyber filorussi.

Il casus belli, secondo le stesse rivendicazioni, era esattamente quel discorso. Non una coincidenza, ma bensì una risposta.

Gli attacchi informatici non sono infatti eventi tecnici isolati: sono bensì segnali. Per questo, al giorno d’oggi, leggere e monitorare la realtà digitale significa saper connettere quello che succede online a quello che succede nel mondo fisico, e viceversa.

Il contesto diventa bersaglio

Nonostante il pattern si ripeta con una certa regolarità, spesso il mondo digitale continua a essere letto come una serie di episodi separati, distinti o relegati “ai tecnici”. Tuttavia, sia le normative come la NIS2 che gli eventi stessi, continuano a ribadire ben altro: siamo di fronte ad eventi intrecciati tra loro, collegati in maniera intima, anche se spesso, il significato di questa connessione emerge solamente dopo il clamore mediatico.

A febbraio 2026, due giorni prima della cerimonia di apertura delle Olimpiadi invernali di Milano-Cortina, il collettivo russo NoName057(16) rivendicò attacchi informatici contro sedi del Ministero degli Esteri italiano, a partire dall’ambasciata a Washington, e contro portali di hotel a Cortina d’Ampezzo, direttamente riconducibili all’evento olimpico. Il Ministro Tajani parlò di “azioni ostili prontamente sventate”, vero per molte delle istituzioni prese di mira, ma comunque problematiche per il tessuto imprenditoriale che ne è risultato pienamente coinvolto.

Il 16 maggio 2026, le autorità austriache riportarono circa 500 tentativi di attacco contro l’infrastruttura digitale dell’Eurovision Song Contest di Vienna: sito ufficiale, sistemi di accreditamento, controlli di accesso alla venue vengono presi di mira per mettere in difficolta lo svolgimento dell’evento.

I servizi di intelligence segnalavano operazioni in parallelo da più gruppi collegati all’Iran, in un clima di tensione politica legata alla partecipazione israeliana e alle proteste in strada.

Due eventi diversi, due titoli diversi. La stessa logica sottostante: quando il mondo concentra l’attenzione su qualcosa, il dominio digitale reagisce.

Cluster di eventi cyber sul territorio austriaco a maggio 2026 (Sorgente: Osservatorio DIL).

Più indietro ancora, a settembre 2024, i collettivi di NoName057(16) e OverFlame avevano già colpito siti governativi austriaci, aeroporti, istituti finanziari e la Borsa di Vienna in coincidenza con le elezioni nazionali, dichiarando apertamente di voler “testare la sicurezza informatica dell’Austria” prima del voto.

A maggio 2026, gli stessi attori hanno colpito i siti istituzionali romeni durante il ballottaggio presidenziale, mettendo offline il Ministero degli Esteri, la Corte costituzionale e i portali dei candidati proprio nel giorno del voto.

Medesimo scenario è stato registrato in Italia con le elezioni amministrative di maggio 2026, dove il voto è stato “accompagnato” da una infausta serie di indesiderate attenzioni da parte di collettivi filorussi, i quali hanno preso di mira numerose infrastrutture governative e pubbliche amministrazioni locali e regionali, confermando che, anche nello spazio digitale della nostra nazione, le elezioni sono uno degli agenti scatenanti più visibili, ma non di certo l’unico.

Cluster di attacchi sul territorio italiano collegato alle elezioni amministrative a maggio 2026 (Sorgente: Osservatorio DIL).

La geopolitica si sposta nell’underground criminale

Quando i governi si scontrano, il tessuto occulto del digitale non rimane affatto fermo a guardare. A volte non si tratta di attacchi diretti, spesso emergono rivendicazioni, misteriose fughe di dati e ultimatum da parte di attori più o meno emergenti.

In questi contesti, il confine tra operazione reale e operazione di narrativa è deliberatamente sfumato: l’obiettivo degli attori che muovono nel dominio cyber non è solo sottrarre dati o sabotare, ma anche creare incertezza, erodere la fiducia, e amplificare tensione.

Capita meno di rado di quanto si pensi e il recente caso di Lockheed Martin ne è un episodio particolarmente iconico.

A febbraio 2026, nel pieno delle tensioni legate al conflitto iraniano, un enigmatico gruppo identificato come “ZeroApt” rivendicò 11 terabyte di dati sottratti a Lockheed Martin, incluse patch del programma F-35 ODIN, schemi missilistici e comunicazioni interne.

Certo, la credibilità di queste rivendicazioni era piuttosto modesta, ma il segnale echeggiò comunque in maniera piuttosto estesa nell’underground. Poche settimane dopo, il 23 marzo, fonti aperte riportavano un presunto breach da parte di un gruppo hacktivist filoiraniano al colosso della difesa americano. Tre giorni dopo, Handala Hack Team alzava la posta: dati personali di 28 ingegneri senior venivano dati in pasto al pubblico, in questo caso, l’ultimatum conteneva rivendicazioni geopolitiche esplicite, nel pieno dell’escalation tra Iran e Israele.

La pressione non si fermava al perimetro diretto. Ad aprile, il gruppo Akira colpiva un fornitore della supply chain dichiarando di detenere file di progetto Boeing e Lockheed Martin. Poco dopo, a maggio, il gruppo ransomware Rhysida colpiva STELIA North America rivendicando il furto di ulteriori 10 terabyte che includevano materiale riconducibile agli stessi partner, tra cui di nuovo Lockheed Martin.

Cinque eventi in tre mesi, attori diversi, vettori diversi, diretti e attraverso la catena di fornitura, tutti però convergenti sullo stesso obiettivo simbolico e strategico in un periodo di conclamata crisi geopolitica.

Uno schema simile lo si ritrova anche in precedenti casi, come quello del noto contractor navale militare francese Naval Group, che nel luglio 2025 venne coinvolto da un presunto breach che includeva dati su programmi sottomarini, segreti nucleari e proprietà intellettuale della difesa. In quel caso, Naval Group smentì l’intrusione definendo l’episodio “un tentativo di destabilizzazione”.

Anche in questo caso, poco dopo, a fine agosto dello stesso anno, nuove fonti tornavano a rilanciare la notizia citando rischi per i segreti della difesa nucleare e navale. Insomma, smentita ufficiale da un lato, rivendicazioni persistenti dall’altro: la disputa narrativa pareva anche qui essere essa stessa parte dell’operazione.

Un osservatorio per collegare cyber, geopolitica e rischio

Digital Intelligence Lab, progetto che monitora il fenomeno delle estorsioni digitali dal 2020 attraverso il portale “doubleextortion.com”, uno dei primi progetti italiani di tracciamento sistematico dell’ecosistema ransomware, ha reso disponibile alla community un nuovo osservatorio che si estende a supporto di una domanda più ampia: non solo cosa sta succedendo nel dominio cyber, ma perché adesso, dove, e cosa sta succedendo intorno.

L’osservatorio, disponibile per la community su community.digintlab.com, traccia eventi come casi ransomware, breach, incidenti, attività di milizie digitali, crimine cibernetico, e comunicazioni tra i vari threat actor, posizionandoli su di una mappa globale insieme al contesto geopolitico e sociale in cui si verificano. L’obiettivo è rendere leggibili le connessioni tra gli eventi.

È uno strumento costruito per chi ha bisogno di quel quadro assemblato: professionisti del rischio che cercano di anticipare cosa viene dopo, analisti che devono tradurre un incidente cyber in conseguenza strategica o di business, ricercatori e giornalisti che vogliono capire come il mondo digitale risponde quando quello fisico si muove, e viceversa.

Dagli hacktivisti russi che seguono i discorsi del Quirinale, agli attacchi sui server di Vienna mentre l’Europa guarda Eurovision, sino ai leak di dati NATO che compaiono sui forum nelle settimane di tensione diplomatica: il tempismo, spesso, non mente, gli attacchi informatici sono segnali con una valenza cross-dominio, molto spesso in continuità o correlati agli eventi che regolano il mondo fisico.