Recorded Future, in un rapporto presentato alla Munich Security Conference, descrive il progressivo annullamento del confine tra dominio digitale e mondo fisico.
Ciò che in passato veniva interpretato come una serie di attacchi isolati è ora definito come pressione continuativa che accompagna le crisi internazionali.
Secondo il documento, il 2026 è stato un punto di svolta in cui le operazioni informatiche si sono intrecciate in modo più diretto con gli esiti geopolitici reali.
L’accesso come leva strategica
Dopo l’intreccio tra dominio digitale e realtà geopolitica, le operazioni informatiche privilegiano sempre più il mantenimento di accessi persistenti a sistemi di identità, infrastrutture cloud e asset di periferia. Questo approccio consente ad attori statali e a proxy di conservare una leva politica attivabile nei momenti di tensione, con costi politici e militari inferiori rispetto alla guerra convenzionale.
Le intrusioni iniziano frequentemente con il furto di credenziali. Per questo motivo il valore dell’identità digitale è diventato il centro delle campagne offensive, sia per scopi di intelligence sia per operazioni di coercizione asimmetrica. Gli analisti segnalano una crescita delle tattiche che privilegiano la persistenza sull’effetto distruttivo immediato, con implicazioni dirette per criteri di difesa e resilienza delle infrastrutture critiche.
Identità e credenziali al centro del rischio
La recente evoluzione delle minacce privilegia la persistenza rispetto all’effetto distruttivo immediato.
Questo spostamento impone alle organizzazioni di rivedere le priorità difensive. Serve un approccio basato su identity protection, controllo degli accessi continuo e monitoraggio comportamentale degli account. Tali misure limitano la capacità di un operatore ostile di agire indisturbato anche dopo l’accesso iniziale.
Per le infrastrutture critiche la sfida è culturale oltre che tecnica. Implementare l’autenticazione multifattoriale, la segmentazione degli accessi e strumenti di rilevazione del comportamento anomalo diventa imprescindibile per ridurre il rischio operativo. In prospettiva, si prevede un aumento degli investimenti in tecnologie di gestione delle identità e dei privilegi.
Un ecosistema criminale più resiliente e modulare
Dopo l’aumento degli investimenti in tecnologie per la gestione delle identità e dei privilegi, le attività di contrasto hanno prodotto sequestri e arresti significativi.
Tuttavia, le operazioni di polizia e giudiziarie hanno favorito la frammentazione del mercato criminale. Gruppi consolidati si sono ristrutturati in unità più piccole e agili, modulari per funzione e territorio. Questa decentralizzazione riduce la redditività individuale delle campagne di ransomware ed estorsione.
Al contempo, ne aumenta la diffusione operativa e la difficoltà di contrasto, ampliando la superficie di attacco a livello globale.
Spyware commerciale e ambiguità normativa
La diffusione degli strumenti di sorveglianza privati prosegue, con impatti concreti su attribuzione, responsabilità e controllo. Dopo l’aumento della loro presenza operativa, le autorità e le organizzazioni della società civile segnalano difficoltà crescenti nel distinguere tra impieghi leciti e abusi. Questo fenomeno è particolarmente rilevante nei casi in cui le tecnologie vengano acquistate da attori statali o para-statali.
L’utilizzo di prodotti come Pegasus ha reso evidente che il mercato commerciale può alimentare operazioni offensive senza cambiare il perimetro legale. Il termine spyware indica software progettati per raccogliere dati e monitorare dispositivi a distanza.
La disponibilità di strumenti sofisticati e facilmente reperibili aumenta la complessità normativa e complica l’attribuzione tecnica e giuridica degli atti di sorveglianza.
Le lacune nelle normative internazionali e nazionali favoriscono approcci divergenti alla regolamentazione e all’applicazione della legge. Ne derivano rischi per diritti fondamentali, per la sicurezza delle infrastrutture e per la responsabilità delle aziende produttrici. Le discussioni in corso tra governi, organismi internazionali e settore privato suggeriscono un aumento delle misure di controllo sulle esportazioni e delle iniziative di trasparenza sui fornitori.
Il ruolo dell’intelligenza artificiale nell’erosione della fiducia
Le indicazioni recenti delle agenzie internazionali e del settore privato segnalano un aumento delle misure di controllo sulle esportazioni e iniziative di trasparenza sui fornitori. In questo contesto, l’intelligenza artificiale incide sulla dinamica della fiducia pubblica e privata.
L’AI non produce ancora attacchi totalmente autonomi su larga scala, ma potenzia significativamente la capacità di inganno. La tecnologia accelera la creazione di campagne di disinformazione, automatizza messaggi persuasivi e supporta operazioni di social engineering. Inoltre, facilita la generazione di identità sintetiche che complicano l’attribuzione e la verifica.
Il risultato è anche strategico: scalare la menzogna riduce i tempi di reazione delle difese e aumenta la plausibilità delle giustificazioni degli attori malevoli. Le evoluzioni normative e tecnologiche determineranno i prossimi sviluppi nella capacità di contenere questi rischi.
Implicazioni per politica e difesa
Governi e aziende devono ripensare strumenti di deterrenza e meccanismi di cooperazione. Alcuni alleati limitano la condivisione di intelligence per ambiguità sulle azioni dei partner, indebolendo la risposta collettiva.
Se il 2026 ha segnato l’avvio di una fase in cui le operazioni cyber sono parte integrante della competizione geopolitica, il periodo successivo prospetta un quadro in cui la sicurezza sarà misurata dalla capacità di gestire accesso persistente, identità compromesse e campagne di influenza amplificate dall’IA. Affrontare queste sfide richiederà approcci ibridi che combinino controllo tecnico, diplomazia e norme internazionali. Le evoluzioni normative e tecnologiche determineranno i prossimi sviluppi nella capacità di contenere questi rischi.
