Ci sono guerre che si combattono senza sparare un colpo, ma non per questo sono meno pericolose. Ieri, mentre a Parigi sfilavano davanti alle telecamere i leader dei Volenterosi con il presidente ucraino Volodymyr Zelensky, il ministro degli Esteri francese Jean-Noël Barrot ha denunciato la «vasta campagna informatica con finalità di sabotaggio e spionaggio» contro ministeri e imprese condotta dalla Russia in una decina di Paesi europei. Alla denuncia sono seguite la convocazione degli ambasciatori russi a Parigi e Berlino e un nuovo pacchetto di sanzioni Ue contro nove persone e quattro entità ritenute responsabili dell’operazione, orchestrata – secondo Parigi – dal Servizio federale di sicurezza russo. Londra ha agito in parallelo, colpendo 24 persone e organizzazioni, tra cui tre alti funzionari dell’intelligence militare russa. Gli hacker d’élite Per la prima volta, l’Ue ha indicato pubblicamente come responsabile della campagna il 16° Centro del Servizio federale di sicurezza russo, noto come Unità 71330, formalmente “Centro per l’intelligence radioelettronica tramite le comunicazioni”. Si tratta dell’erede diretto della 16ª Direzione del Kgb, che fino al 1991 si occupava di intelligence sui segnali (Sigint) e sicurezza delle comunicazioni governative. Secondo l’Alta rappresentante Ue per la politica estera, Kaja Kallas, il 16° Centro coordina un vero e proprio «ecosistema» di gruppi di minaccia informatica, tra cui spicca Turla, conosciuto in ambito investigativo anche con i nomi di Venomous Bear, Snake, Krypton, Uroburos o Secret Blizzard. Attivo almeno dal 2004, Turla è uno degli attori di cyberspionaggio più sofisticati e longevi al mondo: negli ultimi vent’anni è stato collegato ad attacchi contro oltre 50 Paesi, colpendo governi, ambasciate, aziende della difesa e realtà del settore energetico e farmaceutico. Il gruppo opera prevalentemente da una struttura dell’Fsb nella città di Ryazan, a Sud-est di Mosca. Le tecniche di Turla comprendono “spear-phishing”, attacchi “watering hole” (compromissione di siti visitati dai bersagli), backdoor sofisticate e, in passato, persino la compromissione di connessioni satellitari. Il malware storicamente più noto del gruppo, Snake, era stato smantellato nel 2023 da un’operazione internazionale coordinata da Fbi e alleati, dopo quasi vent’anni di monitoraggio. Oltre a Turla, l’Fsb avrebbe attivato anche altri strumenti: ufficiali del Gru (l’intelligence militare russa), operatori cyber, sedicenti movimenti “spontanei” di hacktivisti e società private accusate di fornire sostegno operativo o di copertura alle attività di destabilizzazione del Cremlino. I Paesi colpiti Secondo Bruxelles, tra le nazioni prese di mira figurano Francia, Germania, Polonia, Cipro, Paesi Bassi, Austria, Slovacchia, Romania e Finlandia. L’Ucraina è citata tra i partner colpiti, ma non è formalmente indicata come decimo Paese dell’elenco. L’Italia non compare, benché Roma abbia denunciato altri attacchi di origine russa. In Francia Turla sarebbe attivo almeno dal 2010. Ha colpito la posta elettronica del ministero delle Forze armate, la rete usata dall’ambasciata francese a Mosca e un server del settore giudiziario. Nel 2025 ha raggiunto un istituto di ricerca impegnato nello sviluppo di tecnologie sensibili per la difesa, sottraendo una quantità «significativa» di dati. La prova generale polacca Il 29 dicembre scorso, mentre la Polonia era stretta dal gelo, qualcuno ha provato a spegnere il riscaldamento di quasi mezzo milione di case. L’arma non era un missile, ma un accesso remoto ai sistemi di una grande centrale di cogenerazione. Gli hacker erano già dentro: avevano rubato informazioni operative e imparato a muoversi nella rete. Poi hanno attivato un programma progettato per cancellare i dati in modo irreversibile. Il sistema di sicurezza lo ha bloccato all’ultimo momento. Lo stesso giorno sono stati colpiti più di 30 impianti eolici e fotovoltaici e un’azienda manifatturiera. Alcune sottostazioni hanno perso il collegamento con il gestore e la possibilità di essere comandate a distanza. La società Eset ha attribuito il malware a Sandworm, il gruppo del Gru responsabile dei blackout in Ucraina. Dal codice alla molotov Turla e Berserk Bear fanno capo all’Fsb. Sandworm e APT28 dipendono invece dal Gru. Accanto a loro agisce una zona grigia di società informatiche, criminali e hacktivisti di facciata, utile a moltiplicare le risorse e a rendere incerto il confine tra criminalità e Stato. La campagna informatica si inserisce così in un’offensiva più vasta: trasformatori ferroviari sabotati, fabbriche di droni sorvegliate, molotov, pacchi incendiari e dispositivi capaci di interferire con i comandi delle navi. Nel mondo fisico Mosca utilizza uomini usa e getta, reclutati online e pagati su Telegram. Nel cyberspazio usa gruppi dai nomi mutevoli, server rubati e reti di computer compromessi. Il principio è identico: tenere il mandante lontano dall’attacco e costringere l’avversario a dimostrare ogni passaggio. L’obiettivo non è solo distruggere, ma sapere in anticipo cosa pensano le cancellerie occidentali dell’Ucraina, quali armi saranno consegnate, quanto reggerà il sostegno a Kyiv. E intanto si dimostra di poter raggiungere la vita quotidiana degli europei, restando appena sotto la soglia che giustificherebbe una risposta militare della Nato. È la grammatica della guerra ibrida: non ha bisogno di invadere per logorare. Le sanzioni difficilmente fermeranno Turla. Servono soprattutto a dare un nome al mandante e a sottrarre a Mosca parte della sua ambiguità. Il dato più inquietante, però, non è quanti attacchi siano già riusciti, ma quanti accessi restino sconosciuti. La Russia non ha bisogno di provocare subito un blackout. Le basta dimostrare di poterne provocare uno. È la guerra prima della guerra, invisibile finché un impianto smette di rispondere, un treno si ferma, una città rimane al freddo. Per ora, l’Europa risponde con gli strumenti che ha, mentre a Ryazan, c’è da scommetterci, si continua a lavorare.