Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il cyberterrorismo moderno non punta soltanto a colpire sistemi informatici, ma a destabilizzare società, istituzioni e fiducia pubblica. Grazie all'intelligenza artificiale, propaganda, deepfake, disinformazione e attacchi cyber diventano più efficaci e scalabili. Le infrastrutture critiche sono bersagli strategici in una guerra ibrida dove l'obiettivo principale non è il danno tecnico, ma il controllo delle percezioni e la creazione di panico collettivo.
Non è necessario spegnere sempre una centrale elettrica per creare panico. A volte basta far pensare che possa accadere ed è questo uno dei tratti più subdoli della moderna minaccia del cyberterrorismo che consiste nell’attaccare sistemi digitali, informazioni e percezioni collettive, allo scopo di destabilizzare, minare la fiducia e imporre pressione politica.
Non lo è più l’immagine cinematografica di un singolo hacker che cerca di infiltrarsi in un’infrastruttura critica come un impianto elettrico, si tratta di un attore che oggi opera in un ecosistema molto più ampio, fatto di cybercrime, hacktivism, gruppi sponsorizzati da stati, propaganda online e intelligenza artificiale che si sta sempre più confondendo.
La minaccia è invisibile perché di norma non genera immediatamente macerie fisiche.È globale perché non ha confini, né fusi orari, né frontiere militari. Un assalto può aver luogo da un server compromesso in un Paese, utilizzare identità trafugate in un altro, colpire aziende o istituzioni in un terzo, ed avere ricadute politiche a livello globale.
Quel che sta al centro della questione non è solo tecnico. È strategico e la domanda non è più “chi ha violato il sistema?”, ma “quale effetto vuole ottenere chi lo ha fatto?”.
Parlare di cyberterrorismo vuol dire spostarsi in una zona d’ombra. Non tutte le intrusioni cibernetiche sono hanno fine terroristico anzi…. Un ransomware pubblicato per estorcere denaro continua a essere cybercrime anche quando porta danni significativi. Operazioni di spionaggio, svolte da un attore statale o parastatale, viene invece collegato alla cyber intelligence/warfare.
Il cyberterrorismo si manifesta quando, ad esempio, si ha lo scopo do intimidire una popolazione, influenzare decisioni politiche o destabilizzare un sistema sociale con strumenti digitali. Il problema è che oggi questi confini sono più sfumati rispetto al passato. Un gruppo estremista può utilizzare metodi criminali per finanziare se stesso così come uno stato attore può utilizzare gruppi proxy per disconoscere ogni coinvolgimento. Un gruppo hacktivista può mutare una campagna DDoS all’interno di una pressione geopolitica in cui nel mezzo possiamo trovare, a seconda del contesto, un elettore, un cittadino, imprese, ospedali, sistemi energetici e burocrazia governativa.
Secondo il Threat Landscape 2025 di ENISA, il contesto della minaccia cyber però è pronto a trasformarsi in un ecosistema molto più fluido, in cui diversi gruppi si riuniranno e condivideranno tecniche, strumenti e convergeranno su servizi digitali particolarmente vulnerabili. Tutto ciò rende la difesa più complessa. Non basta sapere chiè l’attaccante: bisogna capire il contesto in cui si muove e quali effetti intende avere. Il cyberterrorismo, infatti, non necessita di causare un blackout nazionale. Potrebbe cercare di causare panico, sfiducia nelle istituzioni, pressione sui media, sovraffollamento dei servizi pubblici o paralisi temporanea durante un momento politicamente sensibile. Il danno è psicologico, economico e reputazionale prima ancora che tecnico.
L’intelligenza artificiale permette al cyberterrorismo di essere più veloce, più economico e più scalabile. Gli stessi modelli generativi sono sfruttati per generare propaganda in più lingue, produrre video deepfake, automatizzare campagne di disinformazione, personalizzare messaggi di radicalizzazione o creare identità digitali credibili.
Gli stessi strumenti possono essere utilizzati per facilitare la ricognizione, il phishing, l’OSINT, l’analisi degli obiettivi e lo sviluppo di malware. Nel rapporto Digital Defense Report 2025, Microsoft segnala come gli attori-nazione hanno trasformato le proprie operazioni cyber e di influenza con maggiore attenzione, in modo mirato. In questo scenario, l’AI non sostituisce l’aggressore, ma anzi ne aumenta la produttività. Anche il Google Threat Intelligence Group ha evidenziato tentativi di sfruttamento dell’AI a opera di gruppi ostili per ricognizione, phishing, estrazione dei dati e capacità operative. Per gruppi terroristici o estremisti, questo abbassamento della soglia di accesso è particolarmente significativo. Non sono necessarie così tante risorse tecniche per creare contenuti convincenti, automatizzare le interazioni o fingersi fonti affidabili.La propaganda può essere più veloce, più personalizzata e più difficile da distinguere dalla comunicazione autentica. Il rischio va oltre il semplice malware creato dall’IA. È la fusione di natura tecnica con quella narrativa: attacchi tecnici e manipolazione della narrazione. Un attacco Denial of Service può essere aggravato da bot, video falsi, comunicati stampa manipolati e campagne orchestrate per farlo apparire peggiore di quanto non sia in realtà.
Gli strumenti delle minacce ibride includono, secondo la NATO, una combinazione di mezzi militari e non, attività coperte e palesi, campagne di disinformazione, cyberattacchi, pressioni economiche e manipolazioni politiche in cui lo scopo è quello di confondere la linea tra pace e guerra, per seminare dubbio e minare la fiducia pubblica.
In questo contesto, gli attacchi informatici sono lo strumento di destabilizzazione. Possono verificarsi in concomitanza con crisi diplomatiche, conflitti armati, elezioni, proteste sociali o campagne di influenza. Un attacco DDoS ai siti istituzionali causa danni rilevanti e/o permanenti e al contempo invia un messaggio politico di vulnerabilità e controllo. I dati possono essere utilizzati per ricattare, screditare o orientare il dibattito pubblico. Gli effetti a catena di un attacco ai fornitori di tecnologia possono riversarsi su intere catene di fornitura.
Nel cyberspazio è difficile dimostrare in tempi brevi chi sia il responsabile. L’infrastruttura utilizzata per l’attacco può essere violata, noleggiata o distribuita. Le tecniche possono essere replicate. I gruppi possono cambiare nome, lingua e obiettivi. Questa ambiguità permette ad alcuni attori di operare al di sotto della soglia di un conflitto aperto. Un attacco può essere sufficientemente potente da generare pressione, ma non così esplicito da giustificare una risposta militare o diplomatica immediata. Questa è la logica della zona grigia: colpire senza dichiarare, destabilizzare senza essere visti, influenzare senza esporsi.
Le recenti pubblicazioni congiunte di avvisi di sicurezza da parte di CISA e NSA, relative ad attività attribuibili ad attori sponsorizzati dalla Cina, dimostrano che le telecomunicazioni, i governi, i trasporti e le infrastrutture critiche sono diventati punti focali nella competizione strategica globale.
Energia, acqua, sanità, trasporti, telecomunicazioni, finanza e pubblica amministrazione sono bersagli ideali perché reggono la vita quotidiana e colpire questi settori equivale a minare le fondamenta della fiducia che i cittadini hanno nella capacità dello Stato – e delle grandi aziende – di garantire continuità, sicurezza e servizi. Se a questo aggiungiamo che in molti casi gli attacchi non siano finalizzati a distruggere immediatamente la vittima ma sono mirate ad un accesso persistente, ad una mappatura delle reti, ad un furto di credenziali, o alla compromissione di fornitori o, ancora, a posizionarsi silenziosamente all’interno di sistemi come “preparazione”, di quella normalmente chiamata social engineering: oggi si fa qualcosa in vista di un domani in cui ci si troverà più in alto.
L’intelligenza artificiale introduce anche un ulteriore livello di rischio: un’organizzazione che incorpora sistemi di AI in processi sensibili, strategici o di business senza mettere al riparo i dati, i modelli e le pipeline, si espone a differenti superfici di attacco. Immaginiamo solo l’avvelenamento dei dati, la manipolazione degli input, l’alterazione dei dataset, o i fattori come il data drift dove si può mettere in discussione l’affidabilità della decisione automatizzata.
La guida congiunta AI Data Security rilasciata da NSA, CISA, FBI e partner internazionali, evidenzia proprio questo punto: la protezione riservata ai dati usati per addestrare e far funzionare sistemi AI è l’occhio che può aiutare a garantire l’integrità, l’accuratezza e l’abilitazione del output. Per le infrastrutture critiche, per gli ambienti OT, questo passaggio è essenziale. E non è una questione soltanto di salvaguardare il server e gli endpoint ma anche di impedire che i sensori, i processi industriali, i sistemi di controllo, gli algoritmi predittivi ed eventualmente la catena di fornitura digitale diventino la nuova anello debole.
Il cyberterrorismo incute timore ma nella società digitale, la paura si trasmette attraverso l’informazione. Un attacco informatico può essere amplificato da una campagna coordinata sui social media. Un comunicato stampa falso può diffondersi più rapidamente della risposta ufficiale. Un deepfake può far credere che un leader politico, un ministro o un dirigente abbia detto qualcosa che non ha mai detto. Una fuga di dati può essere mescolata con documenti falsi per rendere più difficile distinguere tra ciò che è reale e ciò che è manipolato.
Il rapporto Algorithms and Terrorism, redatto congiuntamente da UNICRI e UNCCT, evidenzia come l’intelligenza artificiale possa essere sfruttata per scopi terroristici, tra cui propaganda, attacchi alle infrastrutture critiche e la proliferazione di discorsi d’odio e incitamento alla violenza. In questo contesto, la sicurezza informatica confina con la sicurezza cognitiva.
Non esiste una singola tecnologia capace di fermare il cyberterrorismo, serve un modello di resilienza: serve un metodo di strutturato in livelli. Il primo livello resta quello dei fondamentali: gestione delle vulnerabilità, autenticazione forte, segmentazione di rete, backup testati, monitoraggio continuo, logging efficace, piani di incident response e formazione del personale (molti attacchi avanzati sfruttano ancora errori noti, configurazioni deboli, credenziali compromesse e sistemi non aggiornati).
Il secondo livello riguarda l’intelligence. Le organizzazioni devono sapere quali attori potrebbero avere interesse a colpirle, quali tecniche usano e quali segnali deboli osservare. La threat intelligence non deve restare un report da leggere ogni trimestre, ma diventare parte delle decisioni operative.
Il terzo livello è la cooperazione. Nessuna azienda, agenzia o Paese può difendersi da solo e la condivisione tempestiva di indicatori, tecniche, vulnerabilità e campagne attive è essenziale, soprattutto quando gli attacchi hanno finalità geopolitiche o terroristiche.
Il quarto livello è la governance dell’AI. Usare l’intelligenza artificiale in ambito cyber può essere un vantaggio enorme per rilevare anomalie, correlare eventi e accelerare la risposta ma l’AI deve essere controllata, verificata e protetta e per questo occorre la tracciabilità dei dati, i controlli sugli accessi, la validazione dei modelli, il monitoraggio degli output e la capacità umana di supervisione.
La lezione è semplice: più la società diventa digitale, più la sicurezza informatica diventa sicurezza nazionale.
Il cyberterrorismo non è solo una questione di firewall o vulnerabilità di malware. Si tratta di un danno destabilizzante, su infrastrutture, informazioni, percezioni e fiducia pubblica. L’adozione delle nuove tecnologie, quali ad esempio l’AI, accresce l’impatto in quanto rende più economiche e rapide attività che in precedenza richiedevano competenze, tempo e risorse.
La sfida per gli anni a venire sarà riuscire a distinguere “il rumore” dal “segnale”. Oltre a determinare quando un attacco è criminale, quando è politico, quando è parte di una campagna ibrida, e quando mira a generare paura collettiva (e per questo la risposta non può essere solo tecnica). Occorrono competenze cyber, cultura della sicurezza, cooperazione internazionale, trasparenza nella comunicazione e capacità di proteggere le infrastrutture critiche senza dimenticare il bersaglio più fragile: la fiducia dei cittadini.
Il cyberterrorismo è poco avvertito e percepito come lontano finché non produce effetti ma, quando li produce,è troppo tardi per improvvisare soluzioni.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]