La guerra ibrida ha già colpito l'Italia

Lunedì Guido Crosetto ha portato al Consiglio supremo di difesa un documento che, per una volta, non parla per eufemismi: si intitola “Il contrasto alla guerra ibrida: una strategia attiva”, ed è un non-paper politico prima ancora che tecnico. Ora verrà mandato alle Camere. Qui proviamo a raccontare che cosa c’è dentro, in versione “spiegato facile”, come resoconto ragionato utile anche a chi continua a dire che sono tutte esagerazioni e che in fondo non ci riguarda.

Il punto di partenza è semplice e brutale: secondo il ministro, non stiamo “rischiando” una guerra ibrida, ci siamo già dentro. Non è la terza guerra mondiale con i carri armati ai confini, ma un conflitto continuo, giorno e notte, che ha come obiettivi le nostre infrastrutture, i servizi essenziali, le catene di approvvigionamento, il sistema bancario, perfino i dati su cui si basano pensioni e stipendi. E, soprattutto, mira al “patrimonio cognitivo delle nostre popolazioni”, cioè alla testa della gente: il modo in cui percepiamo la realtà, ci fidiamo delle istituzioni, votiamo, reagiamo alla paura. È una guerra combattuta con “bombe meno visibili di quelle fisiche”, che però possono produrre danni catastrofici.

Crosetto lo scrive in prefazione: questo non-paper è la sua “visione” su una minaccia che “ogni giorno erode in modo silente la sicurezza delle nostre società”. Non è un paper accademico, è un documento politico: costruito mettendo insieme materiali non classificati dell’intelligence, fonti aperte, colloqui con ministri della Difesa di altri paesi. Vuole offrire un quadro organico – che cos’è la guerra ibrida, chi la fa, dove siamo vulnerabili, come si risponde – e usarlo come base per aggiornare regole e strumenti. Sottotraccia c’è un’accusa: l’Occidente vede e non reagisce, normalizza l’aggressione, la tratta come rumore di fondo.

Che cos’è, dunque, questa guerra ibrida? Il documento la definisce come l’insieme di “azioni coordinate in più domini”, condotte da attori statali e non-statali “al di sotto della soglia del conflitto armato” e spesso difficili da attribuire, con lo scopo di danneggiare, destabilizzare o indebolire un Paese. Significa sabotaggi camuffati da incidenti, campagne di disinformazione che sembrano solo chiacchiere social, attacchi cyber che fanno saltare ospedali e servizi pubblici, pressioni economiche su materie prime e debito. A volte c’è anche la dimensione militare “grigia”: sconfinamenti aerei o navali “per errore”, esercitazioni provocatorie al limite dei confini, disturbi ai sistemi GPS. Tutto avviene in una zona grigia in cui è difficile dimostrare chi è stato, ma assai facile creare panico, rallentare l’economia, spaccare la politica interna.

Il cuore del problema è proprio qui: nella famosa “plausible deniability”. Chi attacca fa di tutto per non farsi beccare. Un gasdotto fatto esplodere può essere archiviato come incidente tecnico, un cavo sottomarino tagliato come “problema di manutenzione”, una campagna coordinata di profili falsi che amplificano certe narrazioni come normale libertà di espressione. Il documento insiste su un punto che per i giuristi è quasi una bestemmia ma per chi difende un Paese è il centro del problema: nel dominio ibrido conta più la percezione che la certezza. Basta instillare il dubbio che le nostre infrastrutture siano vulnerabili, che le nostre elezioni siano manipolabili, che i nostri alleati siano infidi, per ottenere effetti strategici pari – o superiori – a quelli di un bombardamento.

Gli attori principali vengono elencati senza giri di parole: Russia, Cina, Iran, Corea del Nord. Attori autoritari, in grado di mobilitare rapidamente tutte le leve – militari, economiche, informative, tecnologiche – perché non devono fare i conti con opposizioni, parlamenti, talk show. Accanto a loro, una galassia di attori non statali: gruppi terroristici, criminalità organizzata transnazionale, milizie, “hacktivisti” estremisti. Alcuni sono agenti, cioè bracci operativi quasi ufficiali; altri sono proxy: la mano che colpisce non è formalmente quella dello Stato, ma ne esegue interessi e strategie. E’ il caso dei ribelli Houthi nel Mar Rosso, delle milizie filorusse in Europa dell’Est, di gruppi di hacker che finanziano un regime con furti di criptovalute.

Dentro questo quadro globale, il non-paper si pone una domanda che in Italia si evita sempre: perché dovrebbero colpire proprio noi? La risposta è poco lusinghiera. Perché siamo un Paese energeticamente dipendente dall’estero, perché ospitiamo infrastrutture critiche e corridoi logistici importanti per tutta l’Europa, e perché abbiamo un ecosistema politico-sociale facile da intossicare: polarizzato, litigioso, incline a credere alle narrazioni complottiste, pieno di media e social predisposti a rilanciare qualunque “soffiata”. Il documento parla esplicitamente di vulnerabilità nell’energia, nelle infrastrutture critiche e nell’“ecosistema politico-sociale” italiano. E ricorda che la nostra dipendenza da importazioni di materie prime critiche arriva a circa il 47 per cento, oltre il doppio della media UE: se qualcuno chiude il rubinetto di certe forniture, noi soffriamo più degli altri.

Il dominio che tiene insieme tutto è il cyberspazio. Crosetto lo definisce “il moltiplicatore che tiene insieme tutto”: permette campagne di disinformazione, interferisce con i processi democratici, mette in difficoltà infrastrutture sanitarie, energetiche, di trasporto e finanziarie e rende ardua l’attribuzione grazie all’uso di proxy. Nel testo scorrono gli esempi: l’attacco ransomware WannaCry del 2017, che ha colpito ospedali e servizi pubblici; il blocco dell’oleodotto Colonial negli Stati Uniti nel 2021, con la benzina razionata in alcune aree; il caso SolarWinds del 2020, che ha mostrato come una sola falla in una catena di fornitura software possa aprire le porte di reti governative e industriali in mezzo mondo. Non sono nerd-stories: sono la prova che un attacco informatico è in grado di produrre conseguenze fisiche immediate.

L’Italia, nel frattempo, vede crescere a vista d’occhio il numero di attacchi. L’Agenzia per la cybersicurezza nazionale registra nel 2024 quasi duemila “eventi cyber” e 573 incidenti con impatto confermato, in aumento del 40 e dell’89 per cento rispetto al 2023, con oltre 2.700 vittime. Nel solo primo semestre 2025 gli eventi sono già più di 1.500 e gli incidenti con impatto confermato sono 346, quasi raddoppiati rispetto allo stesso periodo dell’anno precedente. Numeri impressionanti, nota il documento, che mostrano una curva in forte e costante accelerazione. Il settore sanitario è tra i più bersagliati, con conseguenze che vanno dalle liste di attesa bloccate ai pronto soccorso in tilt; il manifatturiero soffre perché è fatto soprattutto di piccole imprese, spesso senza difese adeguate. Il vettore più frequente resta banale e inquietante: una mail, un allegato, una password rubata.

Accanto al cyber c’è la dimensione informativa. Qui il documento entra nel lessico europeo su FIMI, la “Foreign Information Manipulation and Interference”: manipolazione e interferenza straniere nel dibattito pubblico. Parla di campagne di disinformazione, di account falsi, di siti-copia costruiti per diffondere narrazioni alternative pro-Mosca o anti-UE, di deepfake usati per screditare candidati. In appendice viene citato un caso concreto: l’elezione presidenziale romena del 2024, bersaglio di attacchi informatici, manipolazione social, video alterati per minare la fiducia nel voto. L’obiettivo, spiega il testo, è sempre lo stesso: far sì che la gente non voti o che emerga un candidato estremista “utile” agli interessi di chi manovra dall’esterno.

Poi c’è la leva geo-economica, la parte meno visibile ma più strutturale della guerra ibrida. Il non-paper descrive la coercizione economica come l’uso di strumenti commerciali e finanziari per piegare la volontà politica di un Paese. E qui compaiono tre capitoli: i controlli all’export, le acquisizioni mirate, l’uso del debito. Nel primo caso si citano, per esempio, le restrizioni decise da Pechino su gallio e germanio, materiali cruciali per l’industria elettronica europea. Nel secondo, i tentativi di acquisire aziende energetiche o infrastrutturali europee in posizioni chiave. Nel terzo, la dinamica della “debt-trap diplomacy”: il caso dello Sri Lanka, costretto a cedere la gestione di un porto a un soggetto cinese, e l’esposizione di paesi africani a debiti contratti per infrastrutture costruite da imprese legate a Pechino.

A questa pressione economica si aggiunge il tema dei choke points logistici: i colli di bottiglia delle rotte marittime ed energetiche. Il documento prende di mira in particolare il Mar Rosso e il canale di Suez. Ricorda che gli attacchi degli Houthi nel 2023-2024 hanno costretto giganti del trasporto a sospendere o deviare i transiti, trasformando Bab el-Mandeb in uno dei punti più vulnerabili del commercio mondiale: da lì passa circa il 10 per cento del traffico marittimo globale, compresi volumi significativi di petrolio e gas liquefatto verso l’Europa. Poi cita il sabotaggio dei gasdotti Nord Stream nel 2022 e il blocco di Suez causato dalla Ever Given nel 2021: esempi diversi che però dimostrano come una sola “anomalia” possa mettere in difficoltà interi continenti. Per un paese come l’Italia, che vive di export e di import energetico, ogni blocco di queste arterie si traduce in costi, ritardi, inflazione.

La parte forse più politica del documento è quella dedicata alla guerra in Ucraina. Crosetto la usa come case study per spiegare la guerra ibrida su scala continentale. Da un lato c’è l’Ucraina, che ha mostrato una resilienza militare e sociale notevole, ma fatica a riconquistare i territori occupati. Dall’altro c’è una Russia che si è data un’organizzazione “di guerra totale”: produzione di armamenti sganciata dalle logiche di mercato, arruolamenti di massa, sostegno diretto o indiretto di una serie di paesi che le forniscono droni, munizioni, tecnologie dual use. Intorno, una serie di campagne informative filo-russe che usano la fatica dell’opinione pubblica occidentale – il “war fatigue” – per spingere verso il disimpegno.

E’ qui che entra in scena l’Europa, con tutti i suoi ritardi. Il non-paper parla apertamente di rischio di una vittoria russa “per logoramento”, se l’Unione continuerà a muoversi con lentezza nel riarmo e nell’adeguamento industriale. Si ricorda che alcuni paesi stanno avvicinandosi al 2 per cento del Pil in spesa per la difesa, mentre altri restano fermi molto più in basso; che la produzione di munizioni, pur aumentata, non è ancora sufficiente a sostenere una guerra di attrito; che le decisioni su strumenti come l’uso degli utili dei beni russi congelati arrivano dopo mesi di discussioni. E soprattutto si denuncia la tendenza a leggere la guerra solo con la grammatica “pace/guerra”: o cessate il fuoco subito, o escalation. La zona grigia dell’ibrido, dove ci muoviamo ogni giorno, resta fuori dall’immaginario politico.

Da qui nasce la parte propositiva. Il non-paper dice, in sostanza, che non basta più “contenere” la minaccia: bisogna passare a una postura difensiva piena, che nell’hybrid warfare non può che essere proattiva. Significa non limitarsi ad alzare barriere, ma entrare nel dominio per ridurre la libertà di manovra degli avversari, anticipare le mosse, togliere loro terreno. Il linguaggio è meno felpato del solito: la guerra ibrida “non mira al trionfo immediato, ma al logoramento costante”, e l’unico modo per reggere è un’azione coordinata di tutto il governo, integrata con NATO e UE.

In concreto, Crosetto propone quattro direttrici. Primo: definire lo “spazio cyber di interesse nazionale” come un vero e proprio campo di operazioni, con regole chiare su chi fa cosa, chi comanda, chi interviene in caso di attacco. Secondo: dotarsi di una “Arma Cyber” civile-militare, con personale dedicato 24 ore su 24. Il documento indica un obiettivo di circa 5.000 unità, con una capacità iniziale di 1.200-1.500 specialisti, per lo più operativi: non consulenti, non “task force” occasionali, ma gente che sappia attaccare e difendere sistemi complessi. Terzo: garantire a questo personale tutele funzionali adeguate, paragonabili a quelle di chi opera in altri domini operativi. Quarto: creare un Centro per il contrasto alla guerra ibrida, che faccia da cabina di regia tra Difesa, intelligence, altre amministrazioni e alleanze, e sia in grado di rispondere anche sul piano della guerra cognitiva.

Queste proposte si inseriscono in un contesto in cui le alleanze hanno già iniziato a muoversi. Il documento passa in rassegna le iniziative della NATO – dalla nuova strategia sulla minaccia ibrida ai centri di eccellenza di Helsinki e Tallinn, dagli strumenti di supporto cyber agli alleati alle reti per condividere rapidamente informazioni sugli incidenti – e quelle dell’Unione europea: direttive sulla cybersicurezza, atti sulla resilienza digitale, norme sulle infrastrutture critiche, strumenti contro la coercizione economica, fino agli hub anti-disinformazione e ai meccanismi di allerta rapida. Il G7, a sua volta, ha creato un Rapid Response Mechanism per coordinare le risposte alle interferenze e ha allargato il mandato alla coercizione economica. Sulla carta, un arsenale notevole. Nella pratica, dice Crosetto, un mosaico ancora troppo frammentato, che rischia di essere più lento e burocratico dei nemici che dovrebbe contenere.

Sul fronte interno, il non-paper insiste sulla resilienza della società. La minaccia ibrida, si legge, è in grado di colpire trasversalmente infrastrutture, istituzioni, aziende e cittadini, sfruttando ogni spiraglio offerto dalla tecnologia. Ogni ritardo nella comprensione del fenomeno o nell’adeguamento del quadro giuridico è “un vantaggio regalato a chi ci attacca”. L’intelligenza artificiale viene citata sia come arma sia come terreno di difesa: deepfake, micro-targeting pubblicitario, botnet potenziate da modelli generativi consentono di produrre campagne di manipolazione su scala industriale; allo stesso tempo, sistemi di IA possono aiutare a individuare più in fretta anomalie nei traffici, pattern di attacco, reti di account coordinati. Il punto è politico: senza cittadini alfabetizzati, nessun algoritmo potrà salvarci.

Qui il documento entra nel territorio che di solito la politica evita: scuola, media, piattaforme. Si parla di educazione civica digitale, di programmi per insegnare a riconoscere una fonte attendibile, di collaborazione strutturale con i grandi operatori del web per rendere trasparenti certe dinamiche di raccomandazione dei contenuti. Non è un capitolo di bon ton digitale: è la traduzione di un’idea semplice, cioè che la democrazia sopravvive solo se i cittadini hanno gli strumenti minimi per non farsi manipolare. In controluce c’è una critica implicita anche all’Italia: un paese che litiga per settimane sul fact-checking di un talk show, ma fatica a progettare un investimento serio e duraturo in competenze digitali per le nuove generazioni.

Il finale del non-paper è volutamente allarmato. “E’ in atto una guerra continua che ci minaccia senza sosta, giorno e notte”, scrive Crosetto, elencando i possibili effetti di un attacco riuscito: blocco di treni e aerei, collasso del servizio sanitario, paralisi del sistema bancario, corruzione dei dati che regolano pensioni e stipendi. E’ lo scenario che di solito affidiamo a Netflix, e che invece il ministro si prende la briga di mettere per iscritto in un documento ufficiale. Per chi non vuole vedere e non vuole capire, questo non-paper è un promemoria scomodo: se un giorno ci sveglieremo “sorpresi” davanti a un danno catastrofico, la risposta sarà che è successo esattamente ciò che era più probabile, anzi prevedibile, che accadesse quando ci si abitua alle bombe che cadono e si fa finta di non sentirle.