Geopolitica e Cybercrime: quando il codice diventa strumento di potere tra Stati

Tavola rotonda tenutasi durante la 14ª Cyber Crime Conference, Auditorium della Tecnica, Roma, 6 maggio 2026

Nel 2026 l’intreccio fra criminalità informatica ed equilibri geopolitici ha raggiunto un livello di complessità senza precedenti. Il confine fra cybercrime e operazioni state-sponsored non è mai stato così sottile: gruppi ransomware operano sotto la tacita protezione di governi compiacenti, gli APT nation-state riciclano tattiche attraverso i marketplace criminali, le sanzioni economiche trasformano il cybercrime in strumento di sopravvivenza per interi regimi. La guerra in Ucraina ha accelerato questa convergenza: gli hacktivisti sono diventati proxy militari e parte delle infrastrutture criminali è stata riconvertita per condurre operazioni di sabotaggio mirate.

Il cybercrime, oggi, non mira più al solo profitto. È divenuto una forma di potere e uno strumento di pressione sotto la soglia del conflitto armato.

Attraverso le lenti della threat intelligence, del diritto internazionale e della cooperazione pubblico-privato, il panel ha affrontato due domande di fondo: come si risponde quando l’attaccante gode di immunità sovrana? E in che modo Stati e organizzazioni possono difendersi da minacce che trascendono la dimensione puramente tecnica?

Relatori

• Gen. C.A. Leandro Cuzzocrea, Vice Direttore Generale del Dipartimento delle Informazioni per la Sicurezza (DIS);
• Zahid Jamil, Barrister-at-Law, Advocate Supreme Court; former Legal Consultant FBI; Consultant at Council of Europe;
• Raffaele Marchetti, Professore Ordinario di Relazioni Internazionali e Direttore del Center for International and Strategic Studies (CISS), Università Luiss;
• Luigi Martino, Professore di Cyberspace and Global Politics presso l’Università di Bologna; Senior Research Scientist Khalifa University; CEO DamoTech;
• Carsten Meywirth, Director of the Cybercrime Division, Bundeskriminalamt (BKA).

Modera: Paolo Spagnoletti, Presidente di Cyber 4.0 e Professore Ordinario Luiss

La diagnosi: la confusione ingegnerizzata come tratto distintivo

Ad aprire i lavori è stato il Generale di Corpo d’Armata Leandro Cuzzocrea, che ha ricondotto la trasformazione del panorama delle minacce a una categoria trasversale: la “confusione” di attori e obiettivi.

Una confusione, ha sottolineato il generale, «interessante, utile a molti, un po’ casuale e un po’ cercata». Le caratteristiche proprie del dominio cibernetico (difficoltà di localizzazione, anonimato, aspecificità) si manifestano in forme sempre nuove, che rendono difficile ogni esercizio di individuazione e interpretazione.

Un nodo centrale è la sovrapposizione dei fini: economici, propagandistici, politici, di spionaggio o di disinformazione. Lo stesso evento può perseguire obiettivi opposti, talvolta perfino contraddittori. Un attore può rivendicare un’azione che non ha compiuto, allo scopo di generare un effetto destabilizzante; oppure può negare la responsabilità di un’operazione propria, sfruttando la naturale plausible deniability del dominio. Le operazioni false flag, in cui la responsabilità viene attribuita a Stati od organizzazioni terze, rappresentano soltanto la forma più sofisticata di un repertorio molto ampio.

Cuzzocrea ha evidenziato come questo scenario sfugga al concetto di prova nell’accezione propria dell’autorità giudiziaria e delle forze di polizia. «Procediamo in un’ottica probabilistica, ma ragionata», ha osservato a proposito dei processi di attribuzione, che restano per loro natura distinti dalle prove di tipo giudiziario.

La diagnosi che ne deriva è netta: poiché l’ambiente è cambiato in modo strutturale, la risposta non può che ricalibrarsi su un livello altamente adattivo.

La dimensione digitale della politica internazionale

Il professor Raffaele Marchetti ha inquadrato la trasformazione cibernetica all’interno di tre macro-ambiti: politico, economico e di sicurezza.

Sul piano politico, Marchetti ha individuato una pluralità di terreni d’azione, che comprendono la cyber diplomacy, il cyber capacity building e la disinformazione, oltre al tema, particolarmente rilevante per il dibattito, della politica estera condotta tramite proxy. Quando attori statali ingaggiano soggetti non statali per perseguire i propri obiettivi internazionali, ha osservato il professore, ci troviamo davanti a «ciò che in altri ambiti chiameremmo partnership pubblico-privata»: una realtà che oggi merita un’attenzione equivalente.

Sul piano economico, è noto come l’introduzione dell’intelligenza artificiale rappresenti la trasformazione strutturale più rilevante del decennio.

Sul piano della sicurezza, infine, Marchetti ha richiamato il legame sempre più stretto fra difesa (negli Stati Uniti significativamente rinominata Department of War, titolo che affianca quello legale di Department of Defense, in forza dell’Executive Order del settembre 2025) e aziende tech, con Palantir come esempio paradigmatico. A ciò si aggiunge la convergenza fra robotica, intelligenza artificiale e apparati bellici, testimoniata dai droni armati già operativi su diversi campi di battaglia.

Ad attraversare l’intera analisi è un riferimento cruciale: la vera competizione strategica oggi, in corso almeno dal 2008, è quella fra Stati Uniti e Cina. Le altre potenze cyber, come Russia e Israele, hanno un peso rilevante ma marginale rispetto alla dinamica principale. Chip, semiconduttori, quantum computing, dominio spaziale: «chi arriva secondo rischia una differenza qualitativa rilevante», con conseguenze profonde sulla sicurezza nazionale e globale.

Per gli Stati terzi, la scelta di campo comporta sempre un costo. Soprattutto in termini di approvvigionamento tecnologico ed energetico, che oggi richiede anche l’accesso a materie prime e terre rare.

Platformization of crime: l’ambiguità come architettura

Il professor Luigi Martino ha affrontato il quesito alla base del panel: ha ancora senso, sul piano operativo e giuridico, distinguere fra attori statali e gruppi criminali?

La risposta, ha chiarito il relatore, dipende dal sistema politico considerato.

Nelle democrazie la distinzione fra attività lecite e illecite resta saldamente ancorata a meccanismi di accountability. In altri sistemi, semplicemente, tale distinzione non esiste: ci troviamo davanti a ciò che alcuni studiosi e operatori del settore definiscono platformization of crime, ovvero piattaforme statali deliberatamente costruite come strumenti per la proiezione di potenza interna ed esterna, parte integrante dell’agenda strategica dei regimi.

Martino declina questa ambiguità architetturale, osservabile in Stati come Iran, Russia, Cina e Corea del Nord, su tre livelli.

Il primo livello, più ufficiale, vede dipartimenti formalmente preposti a operazioni difensive e offensive sotto l’egida dell’autorità statale e dell’uso legittimo della forza nel cyberspazio.

Il secondo livello è semi-autonomo: gruppi proxy, sia contrattualizzati sia attivati ad hoc, che conducono operazioni criminali al servizio di obiettivi politico-militari ed economici.

Il terzo livello è composto da volontari e attivisti ideologicamente allineati, che sostengono in modo informale l’azione strategica dello Stato.

Come esempio recente, Martino ha citato Handala Hack Team, gruppo hacktivist che il Dipartimento di Giustizia statunitense ha formalmente attribuito al Ministry of Intelligence and Security (MOIS) iraniano. L’11 marzo 2026 Handala ha rivendicato un attacco distruttivo contro Stryker Corporation, multinazionale statunitense del settore medicale: tramite la compromissione dell’account amministratore della piattaforma di device management Microsoft Intune, sono stati sottoposti a factory reset simultaneo oltre 200.000 dispositivi enterprise in 79 Paesi. Pochi giorni dopo, lo stesso gruppo ha rivendicato anche la compromissione dell’account di posta elettronica personale del direttore dell’FBI Kash Patel. L’FBI ha descritto Handala come front persona gestita da un’unità del MOIS, evidenziando così l’architettura statale che si cela dietro l’apparenza di un gruppo hacktivist indipendente.

Il significato di queste architetture è duplice. Da un lato consente ai regimi di mettere elevate capacità tattiche e operative al servizio di obiettivi strategici; dall’altro permette di aggirare una superiorità tecnologica avversaria altrimenti incolmabile.

Il quesito che Martino lascia aperto è cruciale: «cosa possono fare le democrazie per gestire le questioni di sicurezza nazionale e stabilità internazionale poste da avversari che giocano secondo regole proprie, usando il cybercrime come risorsa strategica?».

Le Convenzioni di Budapest e Hanoi: due modelli, una convergenza tecnica?

Zahid Jamil ha portato la discussione sul piano del diritto internazionale, confrontando i due principali strumenti oggi disponibili: la Convenzione di Budapest del 2001 (ratificata da oltre 80 Stati) e la Convenzione delle Nazioni Unite contro la criminalità informatica, adottata dall’Assemblea Generale ONU nel 2024 e aperta alla firma nella cerimonia di Hanoi del 25-26 ottobre 2025 (da cui la denominazione informale di “Convenzione di Hanoi”). La proposta era stata avanzata dalla Russia nel 2017 e l’iter negoziale ha attraversato anni di forti tensioni geopolitiche.

A questo proposito, Jamil ha osservato che «imitation is the best form of flattery». A suo giudizio, la Convenzione di Hanoi ricalca in larga parte quella di Budapest, vale a dire proprio il modello che Russia e Cina hanno criticato per oltre vent’anni. Tatticamente, si potrebbe dire che questa convergenza «vindicates the Budapest Convention».

Il quadro, però, è più complesso di quanto possa apparire. Da un lato la Russia rivendica all’interno della comunità internazionale la paternità del nuovo trattato; dall’altro permangono nodi sostanziali tutt’altro che secondari.

Secondo Jamil, tre punti meritano particolare attenzione.

Il primo risiede nell’Articolo 5, che pone la sovranità statale come principio primario: una disposizione assente nella Convenzione di Budapest e potenzialmente in grado di svuotare di efficacia le altre clausole del trattato.

Il secondo riguarda la tutela dei diritti umani, oggetto dell’Articolo 6. Nei Paesi in cui la blasfemia viene perseguita come cybercrime e tale persecuzione viene presentata come attuazione dei diritti umani, ad esempio, la norma rischia di legittimare richieste di cooperazione difficilmente conciliabili con le libertà fondamentali dei sistemi democratici.

Il terzo punto riguarda l’attenuazione delle garanzie procedurali: dal requisito di una «independent judicial or other independent supervision» previsto dalla Convenzione di Budapest si passa a una più generica «judicial or other independent review» nella Convenzione ONU.

Il vero discrimine fra i due strumenti, ha chiosato il relatore, non risiederà nel testo ma nella sua implementazione. La Convenzione di Budapest ha alle spalle vent’anni di operatività, una rete di cooperazione consolidata e un ethos democratico garantito dal Comitato T-CY. La nuova Convenzione ONU dovrà costruire da zero la propria dimensione operativa, e dovrà farlo prendendo le distanze dall’impronta dei suoi promotori iniziali.

Una preoccupazione finale riguarda il finanziamento: le risorse destinate al modello Budapest rischiano infatti di essere erose a favore del nuovo strumento, con il pericolo di un blind spot normativo proprio nella fase in cui l’intelligenza artificiale impone aggiornamenti continui dei framework giuridici.

La cooperazione operativa: il modello Operation Endgame

Nell’intervento di Carsten Meywirth è stato ricostruito il percorso che ha trasformato la cooperazione internazionale di law enforcement nell’ultimo ventennio.

All’inizio degli anni Duemila i protagonisti del cybercrime erano script kiddies e attori isolati. Dalla metà del decennio scorso il quadro è radicalmente mutato: un’economia illegale strutturata e professionale si è organizzata attorno a servizi specializzati, dai crypter ai malware coder fino al bulletproof hosting, e parallelamente si è avuta una professionalizzazione delle autorità di sicurezza, con la nascita di dipartimenti dedicati come la Joint Cybercrime Action Taskforce in seno allo European Cybercrime Centre dell’Europol (EC3).

Negli ultimi anni si è verificato un ulteriore cambiamento: le alleanze fra autorità di law enforcement sono diventate la norma. Come ha sottolineato Meywirth, «nessuno può combattere da solo contro le minacce attuali; costruire e mantenere alleanze è diventato vitale». Anche la cooperazione con il settore privato è cambiata di segno, passando da rapporti formali e occasionali a operazioni congiunte su larga scala.

Operation Endgame, avviata nel 2024 e proseguita con fasi successive nel 2025, ne è un caso emblematico. Coordinata da Europol con il contributo guida di Germania, Francia e Paesi Bassi, oltre a diversi Paesi extra-europei (fra cui USA, UK, Ucraina e Armenia) e a numerosi partner industriali, l’operazione ha smantellato l’infrastruttura di sei famiglie di dropper e loader: IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot, assumendo il controllo di circa 100 server e 2.000 domini. L’analisi prodotta da una delle tech company partner ha dimostrato l’assenza di nuovi attacchi riconducibili a quei servizi per diversi mesi dopo la prima fase: «un ottimo feedback sull’efficacia dell’operazione».

I gruppi criminali hanno tentato di sostituire le strutture colpite con stealer ed exploit, soluzioni più costose e meno scalabili, e ciò ha avuto un impatto misurabile sul numero e sulla portata degli attacchi ransomware. Nel maggio 2025 una seconda operazione (la cosiddetta «Season 2») ha colpito l’operatore di Smokeloader, Superstar, e la customer base a valle dei servizi smantellati. Il modello operativo è stato poi replicato in successivi workshop internazionali che hanno riunito autorità investigative e aziende private per costruire basi di dati condivise e impostare le operazioni successive.

Meywirth ha citato un episodio rivelatore sulla differenza culturale con il modello statunitense. In occasione di un panel a New York osservò che fra i partecipanti vi erano soltanto due categorie di professionisti, ciascuna in transito dal pubblico al privato e viceversa. «L’alta circolazione fra settori», ha osservato, «costituisce un sistema funzionale che l’Europa potrebbe assumere come riferimento».

Tempo ed effettività: il cambio di passo italiano

Nel secondo giro di interventi, il Generale Cuzzocrea ha descritto l’architettura italiana di risposta al cybercrime come una progressiva delimitazione del campo di battaglia attorno a una pluralità di attori necessari: autorità inquirenti e polizia giudiziaria, Agenzia per la Cybersicurezza Nazionale (ACN) per prevenzione e resilienza, mondo della difesa, intelligence.

I luoghi di sintesi (il Comitato Interministeriale per la Sicurezza della Repubblica per la dimensione strategica, il Nucleo per la Cybersicurezza e il CSIRT Italia presso l’ACN) sono nati per portare allo stesso tavolo le diverse competenze, sul modello mutuato dall’esperienza del contrasto al terrorismo. A questa architettura interna, poiché «il campo è planetario», si affianca il piano della cooperazione internazionale, bilaterale e multilaterale, che coinvolge tutti gli attori in gioco.

L’approccio alla base di questa aggregazione di strumenti si riassume in due parole chiave: «effettività e tempo».

“Effettività” significa che trattati, convenzioni e protocolli vanno messi alla prova sul piano operativo, perché solo la sperimentazione sul campo consente di affinarli e renderli realmente funzionali. “Tempo” significa rapidità di intervento: nei processi di attribuzione e contrasto della minaccia, agire il prima possibile fa la differenza fra una risposta efficace e una postura puramente reattiva.

Come ha sintetizzato il generale, «tutto si basa sulla prevenzione»: ciò che si riesce a evitare a monte riduce lo spazio richiesto alla risposta repressiva.

La diffusione delle capacità offensive e il caso dello spazio

Luigi Martino ha proposto una riflessione sulla diffusione delle capacità offensive, preferendo questo termine a quello di “democratizzazione”, che porterebbe con sé un’accezione valoriale fuori contesto.

Il confronto con altre categorie di armamenti è eloquente: se la soglia di accesso alle capacità nucleari resta oggi altissima, per le capacità cyber è quasi annullata.

A spiegare l’abbattimento della curva dei costi concorrono, secondo il professore, tre fattori.

Il primo riguarda il mercato: la crescente offerta di risorse as-a-service, dal RaaS alle capacità offensive complete, consente l’accesso anche a chi non possiede competenze tecniche specializzate.

Il secondo è l’intelligenza artificiale, «l’elefante nella stanza», che comprime drasticamente lo skill shortage di cui il settore lamenta cronicamente la persistenza.

Il terzo, definito «inclinazione della deterrenza», è di natura strategico-politica. Se la deterrenza classica si basa sulla “leggibilità” dell’avversario, nel dominio cyber la capacità di early warning e di anticipazione delle minacce resta strutturalmente limitata. Le piattaforme di cyber threat intelligence più avanzate permettono di monitorare i canali underground e dark web in cui circolano exploit e vulnerabilità, ma non bastano a costituire una vera deterrenza nel senso proprio del termine. Una capacità soltanto repressiva interviene, per definizione, post factum: l’obiettivo è invece riuscire ad anticipare il rischio.

Il dominio spaziale rappresenta un caso esemplare di questa dinamica. Richiamando la propria esperienza con la European Space Agency (ESA) e con altre agenzie del settore, Martino ha ricordato che «lo spazio nasce orientato alla safety prima che alla security» e che tutti i relativi segmenti, terrestri o satellitari, presentano oggi un perimetro di superficie attaccabile che la sicurezza informatica non ha ancora colmato. La complessità tecnica intrinseca dell’ambiente, spesso legacy-oriented più che future-oriented, rende la sfida ancora più impegnativa e impone un’accelerazione delle capacità tecnologiche dedicate.

Sanzioni, criptovalute e responsabilità degli Stati

Zahid Jamil ha aggiunto alla discussione un piano in larga parte ignorato dai dibattiti tecnici sul cybercrime: la sua dimensione economica strutturale.

Le sanzioni economiche internazionali hanno generato in alcuni regimi (Russia, Iran, Corea del Nord) un riposizionamento strategico del cybercrime, che è passato da fonte di profitto a strumento di sopravvivenza statale.

«Non si tratta di un fallimento del regime sanzionatorio», ha precisato Jamil, «ma di un suo limite evolutivo», che richiede di aggiornarlo alla luce dei cambiamenti in atto nel dominio digitale.

Una risposta coerente richiede tre linee di azione. Anzitutto, una cornice rafforzata in materia di cybercrime e cybersecurity. In secondo luogo, un aggiornamento sostanziale degli strumenti antiriciclaggio, ampliando il mandato della Financial Action Task Force (FATF) alle criptovalute e ai crypto-asset. Infine, l’evoluzione dei trattati su commercio elettronico ed E-trade, in modo da intercettare i nuovi vettori di trasferimento di valore.

L’osservazione finale di Jamil tocca un punto strutturalmente irrisolto: il diritto del cybercrime, oggi, fatica a colpire gli attori statali. In altri contesti di rischio (chimico, biologico, nucleare, spaziale) esistono precedenti rilevanti di trattati che prevedono responsabilità statali esplicite. La discussione che si aprirà a Vienna sul protocollo aggiuntivo alla nuova Convenzione ONU potrebbe essere l’occasione per introdurre una disposizione analoga, ponendo la questione dell’accountability statale come parte integrante del corpus normativo in materia di criminalità digitale.

L’Europa fra cyber colony e autonomia strategica

Raffaele Marchetti ha chiuso la tavola rotonda con un’analisi diretta della postura europea, mettendone in evidenza un grave ritardo: l’Europa si colloca nella fascia bassa della tecnologia cyber, con punte di eccellenza che non bastano a competere con le big tech americane e cinesi.

Ne derivano due rischi seri e convergenti.

Il primo è quello di diventare una “cyber colony“. Un termine che fino a dieci o quindici anni fa, ha ricordato Marchetti, sarebbe stato giudicato polemico ed estremo, ma che oggi descrive con precisione la condizione dell’Europa rispetto alle infrastrutture digitali. Il dibattito attuale sulla sovranità cyber europea è la traduzione operativa del medesimo problema.

Il secondo rischio riguarda il progressivo indebolimento dell’asse atlantico. La sponda statunitense, sulla quale l’Europa ha contato strategicamente nei decenni passati, mostra tangibili segni di erosione. Il riferimento a immagini divenute iconiche nel dibattito recente, gli F-35 americani contrapposti a quelli danesi sulla Groenlandia con questi ultimi bloccati a terra, illustra in modo plastico il tipo di rischio in gioco. Trasferito al dominio digitale e cibernetico, lo scenario è ancora più preoccupante.

La strada verso l’autonomia strategica europea è lunga, complessa e costosa; e incontrerà ostacoli sia interni sia esterni, poiché «nessuno al di fuori del continente lo gradirà, tantomeno Washington». Ma i fatti, ha concluso Marchetti, suggeriscono che non vi siano alternative percorribili.

Considerazioni di sintesi

Tutti i partecipanti al panel hanno concordato su un’osservazione di fondo: il cybercrime non è più decifrabile come fenomeno autonomo dalle dinamiche internazionali. La sua governance, la sua deterrenza e il suo contrasto richiedono ormai un approccio che combini diritto internazionale, cooperazione operativa, politica industriale, intelligence e strategia.

La 14ª Cyber Crime Conference ha portato questo intreccio nel dibattito italiano, approfondendone i nodi principali: dall’ambiguità architetturale dovuta alla platformization of cybercrime alla sanzionabilità degli attori statali, fino al ritardo strutturale dell’Europa nella “corsa al digitale”.

Sul piano del contrasto alle minacce, la tavola rotonda ha affrontato la sfida attuativa dei nuovi framework convenzionali e l’evoluzione della cooperazione pubblico-privata, testimoniata da casi di successo come Operation Endgame. Ne è emersa, per gli operatori del settore, una mappa lucida delle sfide aperte e, soprattutto, della velocità con cui andranno affrontate.