Dopo le contestate dichiarazioni della Russia sul Presidente italiano Mattarella, le reazioni non si sono fatte attendere neanche sul fronte digitale: negli ultimi giorni molte agenzie ed enti pubblici nazionali sono stati colpiti da attacchi informatici, rivendicati dal cyber group filo-russo NoName057. Il casus belli risalirebbe allo scorso 5 febbraio, quando il Presidente della Repubblica, in un discorso pubblico presso l’Università di Marsiglia, aveva paragonato l’offensiva di Mosca in Ucraina alle “guerre di conquista” condotte dal Terzo Reich nell’Europa del secolo scorso. Per tutta risposta, alcuni giorni dopo, la portavoce del ministero degli Esteri russo Maria Zakharova ha dichiarato che un simile paragone “non potrà rimanere senza conseguenze”. A tali affermazioni, definite “inopportune e fuori luogo” dai rappresentanti del governo italiano, ha fatto seguito una serie di attacchi DDoS che il 17 febbraio ha iniziato a prendere di mira numerosi obiettivi di alto profilo istituzionale in Italia. La campagna di attacchi hacker Ddos è proseguita ai danni di soggetti nazionali dei settori governativo, trasporti, finanziario, energetico e della difesa, con cinque giorni consecutivi di attacchi. L’Agenzia per la cybersicurezza nazionale (Acn) ha informato i target interessati e offerto supporto ai bersagli finiti nel mirino degli hacker attivisti NoName057. Gli attacchi sono sempre di tipo Ddos (Distributed denial of service) con l’invio tramite bot di un alto flusso di richieste di accesso al sito per renderlo irraggiungibile. Finora, tra le realtà colpite spiccano: i Ministeri dello Sviluppo Economico e delle Infrastrutture e dei Trasporti; i corpi armati dei Carabinieri, della Guardia di Finanza e dell’Aeronautica Militare; gli aeroporti di Malpensa e Linate, i porti di Trieste e Taranto e l’agenzia Italia Energia Aerospaziale; alcune società che erogano servizi idrici o di trasporto pubblico locale, nonché l’Automobile club italiano (ACI); gli istituti finanziari Intesa Sanpaolo, Nexi e Mediobanca; diverse industrie del comparto bellico. A essere colpiti sono enti ed aziende italiane dei settori governativo, trasporti, finanziario, energetico e della difesa e tra questi ci sono Leonardo, Banca d’Italia, Autorità dei trasporti, Edison, Fininvest, Parmalat. Alcuni siti, come quelli di Leonardo e Edison, per qualche ora oggi non sono stati raggiungibili. Motivate dagli attaccanti con la presunta “russofobia” del Capo di Stato italiano, le operazioni di NoName057 si sono limitate a bloccare per qualche tempo l’accesso ai siti delle realtà colpite, senza conseguenze sulla sicurezza dei dati o delle infrastrutture. Il gruppo NoName057 si è fatto conoscere nel 2022, poco dopo l’inizio dell’offensiva russa in Ucraina. Da allora si è attribuito numerosi DDoS lanciati contro siti governativi e istituzionali ucraini, statunitensi ed europei: l’Italia è stata presa di mira a partire dal 2023, con una serie di attacchi rivolti a Ministeri e altri obiettivi minori, inclusa l’Agenzia dei Trasporti romana ATAC. Nel Manifesto pubblicato al tempo sul canale Telegram, si ricordavano “ai nemici” le parole dell’eroe nazionale russo Alexander Nevsky: “Whoever comes to us with a sword will perish by the sword!”. Al netto dei riferimenti bellici, nell’attuale fase sembra che i threat actor come NoName057 attribuiscano grande importanza alla comunicazione e operino in modo più coordinato che in passato, sebbene solitamente i membri si collochino in diversi Paesi (pochi mesi fa alcuni esponenti del gruppo sarebbero stati arrestati in Spagna). Le attività di NoName057, analogamente a quelle del gruppo Killnet, rientrano a pieno titolo nella nuova era dell’hacktivismo, dove si osserva la trasformazione di un movimento originariamente decentralizzato – e tendenzialmente antigovernativo – in fenomeno organizzato e strategico. Usando il “defacciamento” dei siti istituzionali di uno Stato a fini prevalentemente dimostrativi, l’organizzazione si colloca in un panorama di minacce sempre più ibride e diffuse: in questo scenario, è evidente come non basti implementare misure di sicurezza informatica per proteggere le infrastrutture digitali nazionali dal rischio di attacchi costanti e imprevedibili. Le attività del gruppo NoName057 e di altri simili attaccanti mostrano infatti una dimensione decisamente più politica che tecnologica, chiamando in causa – al fianco della cybersecurity – tutte le armi della diplomazia.
Nel corso del 2024 in Italia sono stati registrati 1.927 attacchi informatici, il 18% in più rispetto all’anno precedente. Gli incidenti, cioè gli attacchi andati a buon fine, sono però diminuiti: 467 complessivamente, il 10% in meno rispetto al 2023 e il 63% in meno rispetto al 2022. Sono infine state 67 violazioni le della privacy. I dati, contenuti nel ‘Threat intelligence report’ pubblicato dall’osservatorio cybersecurity di Exprivia, evidenziano inoltre che gli hacker sono andati a segno il 24% delle volte (contro il 31% dell’anno prima) e che nel 30% degli attacchi riusciti è stata utilizzata l’intelligenza artificiale. Secondo lo studio il settore più colpito è stato quello software-hardware con 760 casi, il doppio rispetto al 2023 e oltre il 30% del totale. Segue il settore finance (aziende finanziarie, istituti bancari e piattaforme di criptovalute) con 709 attacchi (meno 27% rispetto all’anno precedente). La pubblica amministrazione, con 221 casi, si conferma il terzo settore per il secondo anno consecutivo. Cresce inoltre la vulnerabilità del comparto retail (attività commerciali che forniscono beni e servizi ai consumatori, tramite negozi fisici o virtuali) passato da 183 attacchi nel 2023 a 218 nel 2024. Quanto alla principale minaccia, consiste nel furto dei dati, come informazioni personali, finanziarie o proprietarie, che riguarda il 70% dei fenomeni registrati. A seguire ci sono il riscatto di denaro (oltre il 15% dei casi) e l’interruzione di servizio. Nel corso del 2024 sono inoltre stati registrati 1.181 casi di phishing e social engineering, così come 868 casi di attacchi malware. Quanto alla diffusione geografica dei fenomeni, le regioni del Nord sono le più colpite. Ma se si considera il rapporto tra attacchi e popolazione, il centro e il Mezzogiorno risultano più esposti. Domenico Raguseo, direttore Cybersecurity di Exprivia evidenzia che “la riduzione degli incidenti dimostra l’efficacia delle misure adottate” e che “l’intelligenza artificiale, ormai sfruttata anche per scopi fraudolenti, rappresenta un’arma a doppio taglio“.