Oggi l'ultimo attacco a una compagnia energetica privata, ma nella scorsa settimana sono stati colpiti anche i sistemi di Eni e Gse da un collettivo vicino al Cremlino. Il governo potenzia gli strumenti di difesa informatica. Secondo i dati dell'Agenzia nazionale le aggressioni sono aumentate del 30 per cento

Una manovra a tenaglia, un fuoco incrociato con un bersaglio convergente: gli enti che detengono la gestione di gas e di energia in Italia. Il doppio attacco informatico che la scorsa settimana ha coinvolto, nell’arco di 48 ore, prima Gse (Gestore dei servizi energetici) e poi Eni, testimonia quanto il nostro paese (come il resto d’Europa) continui a essere sotto il tiro dell’esercito hacker vicino a Mosca. Non solo: nelle ultime ore è arrivata da Sarzana anche la notizia di una terza operazione d'ingerenza, stavolta nei confronti della compagnia privata Canarbino (tra i principali attori continentali dell'import/export di gas).

Fortunatamente l’Italia ha iniziato a preoccuparsi in anticipo di questi pericoli. Con un articolo contenuto nel decreto Aiuti del 9 agosto 2022 il governo ha infatti formalizzato la possibilità per i servizi di Intelligence di contrattaccare in caso di assalto cyber. Nella pratica, il decreto non ha fatto che legittimare sotto il profilo legale un’arma che i servizi implicitamente già sfruttavano. Ma si tratta comunque di un passo avanti fondamentale. Come riportato nel testo del documento, le disposizioni permettono di attuare misure “di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza, a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza”.

L'approvazione della legge è in linea con la strategia dell’Agenzia per la cybersicurezza nazionale (Acn, guidata dal professor Roberto Baldoni). Già lo scorso 22 febbraio – alla vigilia dell’invasione russa dell’Ucraina – veniva lanciato un concorso per l’assunzione di 50 esperti informatici, con un bando pubblicato in Gazzetta ufficiale.

Rafforzare questi aspetti di difesa oggi è ancora più necessario. Nel suo ultimo report di fine luglio, l'European Union Agency for Cybersecurity aveva messo in guardia sulle minacce derivate dagli attacchi ransomware e il nostro paese risultava tra quelli maggiormente a rischio, al quarto posto dietro Stati Uniti, Germania e Francia.

Lo stesso Franco Gabrielli, autorità delegata per la sicurezza della Repubblica e sottosegretario di stato, ha commentato l’episodio di Gse spiegando come ormai la minaccia ibrida abbia “preso il sopravvento sulla guerra fisica”. Il virus utilizzato per l’attacco – un ransomware, ovvero un malware che blocca l'accesso dei dispositivi che infetta e richiede un riscatto per rimuovere la limitazione – è stato rivendicato da BlackCat, un collettivo hacker vicino al Cremlino che si è già distinto per diverse offensive dall’inizio dell’invasione in Ucraina. Dalle informazioni pubblicate in un leak, pare che sia stato rubato materiale per un totale di 700 Gb. Il gruppo autore dell’attacco (anche noto come Alphv) viene considerato vicino a DarkSide/Black Matter, noti per l’attentato cyber al sistema di oleodotti statunitense Colonial Pipeline, nel 7 maggio 2021. L’incursione criminale aveva obbligato l’impianto di trasporto del carburante a interrompere le operazioni per diverse ore, in modo da contenere i danni.

Per quanto riguarda Gse, al momento sappiamo che la Polizia postale ha depositato un'informativa alla procura di Roma; l'inchiesta sarà probabilmente assegnata al team di magistrati che si occupano di terrorismo e reati informatici. Gli episodi della scorsa settimana, che si sono ripetuti anche oggi, a ogni modo restituiscono il quadro di una tendenza ormai diffusa: l'Acn ha parlato di un aumento improvviso del 30 per cento delle aggressioni nell’ultimo periodo (soprattutto enti pubblici e ospedali).

In questo contesto di “chiamata alle armi” cyber, la Svizzera sembra ricoprire un ruolo determinante. Come riportato dal quotidiano Blick di Zurigo, il paese transalpino sarebbe diventato la piattaforma privilegiata dai russi per lanciare cyberattacchi nei paesi occidentali. Il giornale sarebbe entrato in possesso di un rapporto confidenziale del Servizio di Informazione della Confederazione (uno strumento di sicurezza politica elvetico), dove viene indicato il rischio che Mosca possa “utilizzare i server svizzeri per mettere a repentaglio la sovranità” dei paesi circostanti.