007 a rapportoSette lezioni dall’ultima relazione dell’intelligence italiana

Cyber, Russia, criminalità organizzata, minaccia ibrida, intelligenza artificiale come strumento di analisi: cosa ci dicono i servizi nel loro documento annuale al Parlamento

AP/LaPresse

Ogni anno l’intelligence italiana presenta al Parlamento una relazione sulle minacce che hanno monitorato nei dodici mesi precedenti. L’edizione 2026, intitolata «Governare il cambiamento» include per la prima volta include scenari elaborati con intelligenza artificiale generativa, come quello su un potenziale conflitto diretto tra Russia e Nato. Ma al di là della forma, è il contenuto che merita attenzione.

1) Lo Stato è nel mirino, il settore privato un po’ meno
Nel 2025 gli attacchi informatici contro le pubbliche amministrazioni sono aumentati in modo significativo, con una particolare concentrazione sulle infrastrutture digitali delle principali amministrazioni centrali dello Stato. I gruppi dietro questi attacchi sono definiti APT (Advanced Persistent Threat) ovvero attori altamente specializzati, verosimilmente contigui a governi stranieri, che ricevono linee di indirizzo strategico e supporto finanziario da apparati statali. Paradossalmente, il settore privato ha registrato una contrazione degli attacchi subiti. Il che suggerisce una scelta deliberata degli attori ostili: prendere di mira lo Stato, i suoi dati, le sue infrastrutture, la sua capacità decisionali. Restano «prevalenti» gli attacchi informatici orientati «a garantire un vantaggio economico all’attaccante. È stato registrato anche un aumento delle azioni digitali ostili di chiara matrice spionistica, si legge nella relazione. In aumento anche il furto di identità digitali e credenziali, rivendute nei mercati underground: una filiera sempre più industrializzata. Nel documento viene ricordato anche come «per la prima volta» le agenzie di intelligence italiana (Aise, per l’estero, e Aisi, per l’interno) hanno sottoscritto un rapporto congiunto alleato sui cyber-attacchi del gruppo cinese Salt Typhoon: una decisione, soprattutto politico, che ha rappresentato un importante cambio di passo.

2) La guerra in Ucraina è un’impasse, e Mosca tiene duro
Nel 2025 il conflitto russo-ucraino è entrato nel suo quarto anno senza che nessuno dei due contendenti abbia prevalso in modo decisivo. I numeri dell’intelligence sono impietosi: l’Ucraina ha perso lo 0,8% del proprio territorio nel corso dell’anno, contro lo 0,6% del 2024. Un’accelerazione lenta ma costante a favore di Mosca. Le sanzioni occidentali hanno colpito il settore energetico russo, ma non hanno scalfito la capacità bellica del Cremlino. Russia ha mantenuto posizioni negoziali massimaliste, anche durante i tentativi di mediazione statunitensi. L’Ucraina si è mostrata più flessibile, ma inamovibile sul principio dell’integrità territoriale. «Le perdite umane russe restano elevatissime, ma il Paese conserva la capacità di reclutare nuovo personale e di sostenere la produzione militare».

3) Dipendere da tecnologie straniere è già una vulnerabilità
Uno dei temi più rilevanti, e meno dibattuti nel discorso pubblico, è quello della sovranità tecnologica e digitale. L’intelligence lo mette nero su bianco: le dipendenze non governate da infrastrutture, algoritmi e filiere tecnologiche controllate da attori stranieri possono trasformarsi in «punti di pressione strutturali», riducendo concretamente la libertà d’azione del Paese. Non si tratta solo di cloud e dati. Si parla di semiconduttori, intelligenza artificiale, quantum computing, High Performance Computing. Chi controlla queste tecnologie controlla, indirettamente, anche le infrastrutture critiche di chi ne dipende. L’Unione europea si muove verso il modello del «cloud sovrano» – localizzazione controllata dei dati, giurisdizione esclusiva, gestione autonoma delle chiavi crittografiche – ma la strada è ancora lunga.

4) La mafia si è digitalizzata e usa le criptovalute meglio di molte banche
Le reti criminali transnazionali non sono più organizzazioni gerarchiche con territori fisici da difendere. Sono attori tecnologicamente sofisticati: usano criptovalute per muovere capitali illeciti, comunicazioni cifrate per sfuggire alle intercettazioni, piattaforme digitali anonime per coordinare traffici. La convergenza tra criminalità organizzata e tecnologia, avverte l’intelligence, rappresenta una minaccia persistente e senza confini geografici. Il contrasto prioritario dovrebbe colpire gli ecosistemi digitali su cui viaggiano i proventi: disarticolare le reti finanziarie è oggi più efficace che inseguire singoli individui. «Criptovalute, comunicazioni cifrate, piattaforme digitali e anonimato online consentono resilienza operativa, rapidità di adattamento e capacità di elusione senza precedenti».

5) L’estremismo accelerazionista è online e si organizza globalmente
Sul fronte della minaccia interna, la relazione distingue nettamente tra diverse anime dell’estremismo. Alcune frange rimangono impermeabili alla tecnologia. Ma i circuiti dell’estrema destra «suprematista e accelerazionista internazionale» usano invece la rete come moltiplicatore di propaganda e come strumento per costruire reti transnazionali. La radicalizzazione online, l’accesso a strumenti digitali avanzati e la possibilità di condurre azioni «a distanza» aumentano in modo significativo il potenziale di danno di singoli individui o piccoli gruppi. Non servono strutture pesanti: basta una connessione internet e una narrativa efficace.

6) La guerra si fa senza sparare, e l’Italia è già un bersaglio
La minaccia ibrida è il capitolo forse più denso del rapporto. Si tratta di quella zona grigia in cui avversari stranieri attaccano un Paese senza mai superare la soglia del conflitto armato: compromettendo reti, manipolando l’informazione, trasformando dipendenze tecnologiche in leve di pressione, agendo sulla sfera cognitiva dei cittadini. I rischi si cumulano nel tempo, in modo silenzioso. Non c’è un’esplosione, non c’è una dichiarazione di guerra. C’è un’erosione progressiva della fiducia nelle istituzioni, della capacità decisionale dello Stato, della coesione sociale. La disinformazione — amplificata dagli strumenti digitali — è descritta come «uno degli strumenti più efficaci e pervasivi» di questa nuova forma di minaccia. «Attacchi coordinati nei domini dell’informazione, cibernetico e cinetico producono effetti sinergici quando opportunamente integrati, riuscendo a superare ciascun singolo dominio», si legge.

7) Per la prima volta i servizi usano la GenAI
L’edizione 2026 segna una svolta metodologica: per la prima volta la relazione include cinque scenari futuri elaborati con tecnologie di intelligenza artificiale generativa (GenAI). Si tratta di esercizi su temi come il conflitto Russia-Nato, la competizione nello spazio verso il 2035, il DAESH in Siria dopo la caduta di Bashar al Assad, le criptovalute e i flussi migratori. L’approccio dichiarato è antropocentrico: l’IA come supporto all’analista umano, non come sostituto. Analisti, operatori OSINT e personale tecnico hanno lavorato in gruppi multidisciplinari, controllando ogni fase del processo — dalla definizione dell’obiettivo alla revisione critica dei risultati. Nessun «automatismo acritico». Il messaggio implicito è duplice: i servizi italiani si stanno attrezzando per governare questi strumenti, ma vogliono anche mostrare al pubblico — e al Parlamento — che l’AI non è né una bacchetta magica né un pericolo da ignorare. È uno strumento che va imparato a usare bene.

X