Nel mondo contemporaneo, la guerra non si combatte più solo con carri armati e missili. Si combatte anche con malware, blackout, sabotaggi e manipolazioni digitali. Le infrastrutture critiche — energia, trasporti, telecomunicazioni, sanità, finanza, acqua — sono diventate bersagli primari in ogni conflitto moderno. 

Nel contesto della guerra ibrida, le infrastrutture critiche non sono più solo obiettivi collaterali: sono diventate bersagli strategici. Energia, sanità, logistica, acqua, trasporti e comunicazioni sono oggi vulnerabili ad attacchi che combinano strumenti fisici, digitali e informativi. Ecco come questo si manifesta nei principali teatri di crisi globale:

​

Israele–Iran

Il 7 ottobre 2023 ha segnato un punto di svolta nella guerra ibrida contemporanea. L’attacco lanciato da Hamas contro Israele non ha colpito solo civili, ma anche infrastrutture strategiche: reti elettriche, sistemi di allerta e snodi logistici. Ma la vera complessità è emersa sotto la superficie.

Dietro l’offensiva, una rete logistica sotterranea estesa e sofisticata — soprannominata la “metropolitana di Gaza” — composta da oltre 1.300 tunnel per un’estensione stimata di 500 km, costruita nel tempo sotto Gaza: tunnel che si prestano ad essere dei veri e propri corridoi logistici e operativi, che collegano depositi di armi, centri di comando e vie di fuga, spesso nascosti sotto scuole, ospedali e moschee. In alcuni casi, infatti, sono stati scoperti arsenali e centri di comando sotto strutture sanitarie, come l’ospedale pediatrico al-Rantisi, trasformando infrastrutture civili in scudi umani e nodi militari.

Un’architettura ibrida che fonde il militare con il civile, rendendo ogni bersaglio un dilemma operativo e ogni struttura un potenziale nodo strategico.

In questo scenario, l’attacco di Hamas non rappresenta soltanto un’azione militare di matrice terroristica, ma un’operazione mirata a incrinare la percezione di sicurezza, mettere alla prova la resilienza delle infrastrutture e sondare la capacità di risposta dello Stato israeliano.

​

Israele ha risposto con una campagna militare prolungata, il cui culmine è arrivato nel giugno 2025 con l’"Operazione Rising Lion" che ha segnato l’inizio del conflitto noto come “Guerra dei 12 giorni”:

un’azione multi-dominio contro obiettivi strategici iraniani, accusati di sostenere e armare Hamas, che ha incluso componenti cinetiche, cyber e psicologiche. L’operazione ha colpito obiettivi nucleari iraniani (Natanz, Fordow, Esfahan) con precisione chirurgica. Ma non si è trattato solo di attacchi cinetici. L’offensiva è stata preceduta da una fase invisibile: secondo fonti di intelligence, sono stati attivati anche strumenti di guerra cibernetica per paralizzare sistemi di difesa, interrompere comunicazioni, disorientare le contromisure iraniane e paralizzare le reti di risposta.

L’Iran, dal canto suo, ha risposto con attacchi cibernetici oltre al lancio di droni e missili. Ha preso di mira obiettivi civili, tra cui ospedali e aree residenziali (Tel Aviv, Haifa, Bat Yam e Beer Sheva) con l’intento di generare panico e pressione interna. In parallelo, sono state diffuse campagne di disinformazione per amplificare l’impatto psicologico e creare panico tra la popolazione.

​

📌 Implicazioni

• Hamas ha trasformato le infrastrutture civili in Gaza in un ecosistema ibrido: scuole e ospedali in superficie, basi operative nel sottosuolo. Questo ha reso ogni infrastruttura un bersaglio ambivalente, protetto dalla percezione pubblica ma funzionale alla strategia militare.

• Israele si è trovato a dover operare in un contesto in cui la superiorità tecnologica non basta: serve la capacità di individuare, isolare e neutralizzare minacce che si mimetizzano nel tessuto urbano. Con un’elevata digitalizzazione dei servizi pubblici, è esposto a minacce cyber che possono colpire la vita quotidiana dei cittadini, anche in assenza di attacchi fisici.

• L’Operazione Rising Lion ha mostrato come la guerra ibrida possa essere proiettata oltre i confini immediati del conflitto, colpendo la catena logistica, finanziaria e infrastrutturale del nemico anche a migliaia di chilometri di distanza.

• L’Iran  ha subito un attacco sistemico alle sue infrastrutture critiche, dimostrando che nella guerra ibrida non esistono più “zone retrostanti”. In quest’ottica soggetto a sanzioni e con capacità militari convenzionali limitate rispetto a Israele, utilizza il dominio cibernetico come spazio di confronto asimmetrico, cercando di colpire vulnerabilità civili per ottenere visibilità e deterrenza.

​

Russia–Ucraina

Fin dall’inizio dell’invasione, la Russia ha colpito sistematicamente infrastrutture critiche ucraine: centrali elettriche, ferrovie, impianti idrici e ospedali. Parallelamente, ha lanciato attacchi cibernetici su larga scala, come quelli contro Ukrenergo e Kyivstar.

L’Ucraina ha risposto con operazioni di difesa attiva e attacchi mirati a infrastrutture logistiche e digitali russe, anche attraverso il coinvolgimento di gruppi civili come l’IT Army of Ukraine.

​

📌 Implicazioni

• In un paese sotto assedio, la resilienza delle infrastrutture è diventata una questione di sopravvivenza nazionale. Gli attacchi mirano a spezzare la resistenza civile colpendo energia, comunicazioni e sanità.

• La Russia utilizza la guerra alle infrastrutture come strumento di logoramento psicologico e pressione diplomatica, cercando di forzare negoziati attraverso il collasso dei servizi essenziali.

• L’Ucraina ha trasformato la difesa delle infrastrutture in un simbolo di resistenza, rafforzando la coesione interna e la solidarietà internazionale.

​​

India–Pakistan

Negli ultimi anni, l’India ha denunciato numerosi attacchi informatici a centrali elettriche, impianti di trasporto e reti sanitarie, attribuiti a gruppi legati al Pakistan o alla Cina. Uno dei casi più noti è stato il blackout di Mumbai nel 2020. Anche il Pakistan ha segnalato tentativi di sabotaggio digitale a infrastrutture militari e civili.

​

Nel maggio 2025, la storica rivalità tra India e Pakistan ha superato la soglia della retorica diplomatica, trasformandosi in un confronto armato breve ma ad alta intensità.

L’innesco: un attentato a Pahalgam, nel Kashmir indiano, che ha provocato decine di vittime civili. La risposta di Nuova Delhi con “l’Operazione Sindoor“ è stata rapida e multilivello: in meno di 24 ore, l’India ha lanciato 14 attacchi missilistici e aerei contro nove obiettivi in territorio pakistano, colpendo infrastrutture legate ai gruppi militanti Lashkar-e-Taiba e Jaish-e-Mohammed. Le azioni sono state descritte da Nuova Delhi come “focused, measured and non-escalatory” — ma hanno segnato un cambio di dottrina: colpire duro, colpire subito, colpire in profondità.

Islamabad ha reagito con "l’Operazione Bunyan-un-Marsoos", una contro-offensiva ibrida, colpendo infrastrutture civili e militari indiane, tra cui sistemi ferroviari, reti elettriche e centri di comunicazione, attraverso incursioni informatiche, sabotaggi informativi e lanci tattici a corto raggio.

Per la prima volta, entrambi i paesi hanno integrato capacità cinetiche e non cinetiche in un conflitto di quattro giorni che ha coinvolto anche lo spazio cibernetico e informativo.

​

📌 Implicazioni 

• In un equilibrio fragile come quello indo-pakistano, le infrastrutture diventano bersagli ideali per operazioni ibride a bassa intensità, capaci di colpire senza dichiarare, destabilizzare senza provocare escalation militare diretta.

• L’Operazione Sindoor ha segnato un punto di svolta nella postura strategica indiana: ogni attacco terroristico è ora trattato come un atto di guerra convenzionale, con risposte calibrate ma ad alta intensità.

• L’India, con una crescente urbanizzazione e dipendenza da infrastrutture digitali interconnesse, ha mostrato capacità di resilienza, ma anche vulnerabilità sistemiche, soprattutto in ambito energetico e logistico, che possono essere sfruttate per generare panico o delegittimare le istituzioni.

• il Pakistan, con infrastrutture più fragili e meno protette, nonché una rete idrica strategicamente sensibile, rischia impatti più gravi da attacchi mirati. Ha subito danni significativi, soprattutto in ambito sanitario e nei sistemi di comando e controllo, anche a causa della sospensione temporanea del Trattato delle acque dell’Indo da parte indiana.

• La crisi ha dimostrato che oggi le infrastrutture non sono solo “collateral damage”: sono strumenti di pressione, simboli di potere e moltiplicatori di impatto psicologico.

​​

Questi scenari dimostrano che il confine tra guerra fisica e guerra digitale non è solo sfumato: è stato superato. La guerra ibrida — che intreccia attacchi militari, operazioni cibernetiche e manipolazione informativa — non è più una deviazione dalla norma, ma una modalità operativa consolidata.

In un contesto di ostilità cronica e assenza di relazioni diplomatiche, le infrastrutture critiche diventano strumenti di pressione indiretta, capaci di generare impatti psicologici e reputazionali senza ricorrere a un’escalation militare diretta: non sono solo bersagli, sono il terreno stesso su cui si gioca il potere, la deterrenza e la resilienza delle nazioni.

La guerra ibrida non si limita alla propaganda o alla pressione diplomatica. Sempre più spesso si manifesta attraverso strumenti tecnologici avanzati, capaci di colpire infrastrutture, processi decisionali e fiducia pubblica. Tra le minacce emergenti più rilevanti:

​

• Droni autonomi/UAVs (Unmanned Aerial Vehicles): capaci di colpire centrali elettriche o impianti industriali con precisione e senza preavviso.

• Malware industriali: evoluzioni sofisticate di Stuxnet, progettati per infiltrarsi nei sistemi di controllo industriale — come i SCADA — e sabotare impianti critici (centrali, raffinerie, reti idriche) senza lasciare tracce evidenti. Questi attacchi mirano a interrompere processi fisici attraverso vulnerabilità digitali.

• Attacchi alla supply chain: colpire un fornitore o un nodo secondario per compromettere l’intero ecosistema produttivo o logistico. Una strategia subdola ma efficace, che sfrutta la complessità delle reti globali.

• Deepfake operativi: contenuti audio o video manipolati per influenzare decisioni in tempo reale, generare confusione o delegittimare interlocutori istituzionali, soprattutto in contesti di crisi o emergenza.

​Queste minacce non sono più scenari futuribili: sono già operative in diversi contesti globali. E richiedono un approccio alla sicurezza che sia integrato, anticipatorio e consapevole delle nuove vulnerabilità sistemiche.

​In uno scenario in cui le minacce si muovono tra il fisico e il digitale, la difesa non può più essere affidata a soluzioni isolate. Serve un approccio integrato, capace di anticipare, contenere e reagire in tempo reale.

Tra i pilastri fondamentali:

​

• ​Segmentazione OT/IT: separare ambienti operativi (Operational Technology) e informatici (Information Technology) per limitare la propagazione degli attacchi e isolare le compromissioni.

• Rilevamento intelligente delle anomalie: utilizzare algoritmi di intelligenza artificiale per intercettare comportamenti sospetti prima che si trasformino in minacce concrete.

• Simulazioni di attacco: testare la resilienza delle infrastrutture con esercitazioni realistiche, migliorando la capacità di risposta in scenari di crisi.

• Piani di continuità operativa: garantire la tenuta dei servizi essenziali anche durante un attacco, riducendo l’impatto su cittadini, clienti e stakeholder.

​​

Questi elementi costituiscono la base tecnica e organizzativa su cui costruire una strategia di difesa efficace. Ma è nel ruolo attivo delle imprese — nella loro capacità di integrare sicurezza, cultura e governance — che si gioca la vera sfida della resilienza. Approfondiamo questo aspetto nella sezione successiva.

Nel contesto della guerra ibrida, le imprese che operano — direttamente o indirettamente — nel perimetro delle infrastrutture critiche non sono più semplici fornitori di servizi: sono attori strategici.

In questo scenario, il ruolo aziendale si estende ben oltre la conformità normativa. Oggi, ogni organizzazione che gestisce asset sensibili o interconnessioni vitali può contribuire attivamente alla solidità dell’intero ecosistema. Non si tratta più solo di “essere conformi”: ciò che fa la differenza è la capacità di anticipare, adattarsi e rispondere in modo coordinato. Audit regolari, percorsi di formazione continua, collaborazione con enti pubblici e condivisione di intelligence diventano strumenti operativi per rafforzare la propria posizione e quella del sistema-Paese.

​

Oltre la compliance: Sicurezza integrata e proattiva

Con l’entrata in vigore della Direttiva CER (Critical Entities Resilience) e della NIS2 (Network and Information Security), a livello europeo, ogni impresa può:

​

• Integrare sicurezza fisica e digitale nei processi core, superando la tradizionale separazione tra (Information Technology) e OT (Operational Technology).

• Adottare modelli di Risk Assessment che includano scenari ibridi e minacce sistemiche.

• Stabilire canali di comunicazione sicuri con ISAC (Information Sharing and Analysis Centers), CERT (Computer Emergency Response Team) e CSIRT (Computer Security Incident Response Team) per lo scambio tempestivo di intelligence su minacce e vulnerabilità.

• Partecipare a tavoli intersettoriali per la definizione di protocolli comuni e standard condivisi  (in sinergia con enti regolatori e organismi di normazione).

• Investire in tecnologie predittive, come AI (Artificial Intelligence) e ML (Machine Learning), per anticipare anomalie e attacchi su larga scala.

​​

Formazione e consapevolezza: il capitale umano come prima linea di difesa

La protezione non si gioca solo sul piano tecnologico. Ogni organizzazione può rafforzare la propria postura di sicurezza valorizzando il proprio capitale umano:

​

• Formando costantemente il proprio personale — tecnico, amministrativo e operativo — sui rischi emergenti e sulle procedure di risposta.

• Simulando scenari di crisi per testare la prontezza organizzativa e affinare i piani di continuità operativa.

• Promuovendo una cultura della sicurezza diffusa, in cui ogni dipendente sia parte attiva della protezione aziendale.

​​

Security by Design e convergenza OT/IT

Ripensare le architetture di sicurezza secondo il principio di “security by design” consente di integrare la protezione sin dalle fasi di progettazione e deployment dei sistemi. In particolare:

​

• Favorire una convergenza strutturata tra ambienti OT (Operational Technology) e IT (Information Technology), con segmentazione delle reti, segregazione dei domini e controllo granulare degli accessi.

• Applicare modelli Zero Trust anche in ambienti industriali, per limitare i movimenti laterali e contenere eventuali compromissioni.

• Rafforzare la sicurezza dei sistemi di controllo industriale, con particolare attenzione a SCADA, PLC e DCS, attraverso aggiornamenti firmware, whitelisting applicativo e monitoraggio comportamentale in tempo reale.

​​

📌 Approfondimento tecnico

• SCADA (Supervisory Control and Data Acquisition): sistema di supervisione che consente di monitorare e controllare da remoto impianti industriali complessi. Raccoglie dati in tempo reale dai dispositivi di campo e li presenta agli operatori tramite interfacce grafiche.

• PLC (Programmable Logic Controller): dispositivi elettronici programmabili utilizzati per automatizzare processi industriali. Ricevono input da sensori, elaborano logiche di controllo e attivano attuatori. Sono ideali per operazioni discrete e ripetitive, come il controllo di macchinari o linee di produzione.

• DCS (Distributed Control System): sistemi di controllo distribuiti, progettati per gestire processi industriali continui e ad alta complessità. (es. centrali elettriche, impianti chimici). Ogni unità controlla una sezione dell’impianto, ma tutte sono coordinate da una supervisione centralizzata, garantendo ridondanza e controllo in tempo reale.

​​

Relazione tra i sistemi: PLC e DCS sono i dispositivi che eseguono il controllo diretto dei processi industriali. Il sistema SCADA, invece, funge da livello superiore di supervisione e acquisizione dati, interfacciandosi con entrambi per fornire visibilità, comando e controllo centralizzato.

Questi componenti, essenziali per il funzionamento delle infrastrutture critiche, rappresentano anche potenziali vettori di attacco se non adeguatamente protetti. Proteggerli richiede un approccio integrato, aggiornato e costante, in grado di prevenire compromissioni sia fisiche che digitali.

​

Detection avanzata e risposta in tempo reale

La protezione delle infrastrutture richiede capacità predittive e reattive. Per questo, è utile dotarsi di:

​

• Sistemi SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) per aggregare eventi e automatizzare le risposte.

• Analisi comportamentale basata su AI (Artificial Intelligence) e ML (Machine Learning) per rilevare anomalie anche in ambienti legacy spesso privi di telemetria nativa.

• Threat intelligence contestualizzata ed operativa, aggiornata su TTPs (Tactics, Techniques and Procedures) degli attori ostili, in particolare quelli sponsorizzati da Stati.

​​

Continuità operativa e gestione della crisi: i piani BC/DR

In scenari di guerra ibrida, garantire la continuità dei servizi rappresenta una leva strategica. Un piano strutturato di Business Continuity (BC) e Disaster Recovery (DR) consente di:

​

• Mantenere attive le funzioni essenziali durante e dopo un evento critico.

• Ripristinare rapidamente sistemi IT, dati e infrastrutture digitali.

• Ridurre i tempi di inattività, limitare le perdite economiche e reputazionali, e rafforzare la fiducia degli stakeholder.

​​

Un piano efficace può includere:

• Sistemi di failover e isolamento dinamico delle risorse compromesse.

• Crisis team multidisciplinari, addestrati a operare in contesti di attacco persistente e disinformazione.

• Simulazioni periodiche (red/purple teaming) per testare la tenuta tecnica e organizzativa.

​​

📌 Approfondimento tecnico

• Business Continuity (BC): strategie, processi e procedure che permettono a un’organizzazione di mantenere attive le proprie funzioni essenziali durante e dopo un evento critico (come un attacco informatico, un blackout, un disastro naturale o un sabotaggio). L’obiettivo è minimizzare l’interruzione operativa e garantire la continuità dei servizi.

• Disaster Recovery (DR): misure tecniche e organizzative per il ripristino rapido di sistemi IT, dati e infrastrutture digitali dopo un’interruzione. Include backup, replica geografica, failover automatici e procedure di recupero.

​​​​​

Ecosistemi interconnessi, responsabilità condivise

In un sistema in cui ogni nodo è connesso, un attacco a un singolo punto può propagarsi lungo l’intera filiera. Ogni impresa rappresenta un potenziale punto di forza o di vulnerabilità. La capacità di anticipare, assorbire e reagire a queste minacce diventa una leva operativa. Oggi, la sicurezza non è più un vantaggio competitivo: è una condizione abilitante per operare. Chi investe in protezione non solo tutela il proprio business, ma contribuisce alla stabilità dell’intero sistema-Paese.