sanzioni cyber ue

Sanzioni cyber e diplomazia coercitiva: il framework UE alla prova dei fatti

A cura di:Redazione Ore

Dall’adozione del Regolamento 2019/796 a oggi, l’Unione Europea ha costruito un arsenale di sanzioni cyber inedito nel dominio cibernetico. Sei anni di applicazione rivelano tanto le potenzialità di questo strumento quanto le sue contraddizioni strutturali, in un contesto geopolitico che non lascia spazio alla compiacenza.

Un regime sanzionatorio per il cyberspazio: le fondamenta normative

Quando nel maggio 2019 il Consiglio dell’Unione Europea adottò la Decisione (PESC) 2019/797 e il Regolamento (UE) 2019/796, compì un passo che fino a poco prima sarebbe sembrato improbabile: dotarsi di uno strumento giuridico autonomo per rispondere ad attacchi informatici di origine extraeuropea. Il framework consente all’UE di imporre sanzioni nei confronti di persone o entità responsabili di attacchi cyber o tentati attacchi, di chi fornisce supporto finanziario, tecnico o materiale, o è altrimenti coinvolto in tali operazioni. Le misure restrittive includono il divieto di ingresso nei territori degli Stati membri e il congelamento dei beni.

Il terreno era stato preparato due anni prima con il Cyber Diplomacy Toolbox, adottato nel giugno 2017, che delineava un catalogo di misure diplomatiche proporzionate da attivare in risposta alle minacce cibernetiche. Ma fu la sequenza di attacchi di portata sistemica (da NotPetya nel 2017 all’operazione contro l’OPCW nel 2018) a convincere gli Stati membri che serviva uno strumento più incisivo. La legislazione fu promossa con particolare impulso da Regno Unito e Paesi Bassi, entrambi colpiti da significativi attacchi informatici nei mesi precedenti all’adozione della Decisione.

Sul piano strutturale, il regime si distingue per una caratteristica fondamentale: le sanzioni possono essere adottate soltanto nei confronti di persone fisiche, giuridiche, entità o organismi distinti dallo Stato. L’UE si astiene dall’attribuire gli attacchi cyber direttamente a Stati terzi, ritenendo tale determinazione una decisione politica sovrana che ogni Stato membro deve valutare autonomamente caso per caso. Le sanzioni, concentrate su attori non statali individualmente designati, hanno natura “mirata” o “intelligente”: sono concepite per incidere su un soggetto precisamente identificato, non sull’intera popolazione di un Paese.

Questa scelta architetturale riflette una tensione irrisolta: l’UE vuole punire chi agisce, ma non vuole assumere la responsabilità politica di accusare formalmente uno Stato, una distinzione che costituisce sia una garanzia giuridica sia un limite operativo.

I casi concreti: Russia, Cina, Corea del Nord, Iran

La prima applicazione concreta del regime risale al luglio 2020, quando il Consiglio designò sei individui e tre entità. Le misure si applicarono a due cittadini cinesi e quattro russi, nonché a tre organizzazioni (una cinese, una nordcoreana e una russa), con divieto di ingresso nell’UE e congelamento dei beni, oltre al divieto di mettere fondi a disposizione delle persone e delle entità elencate.

Sul fronte russo, le sanzioni nominano l’Unità 74455 del GRU (nota nella comunità di threat intelligence come Sandworm), ritenuta responsabile dell’attacco NotPetya del 2017, che paralizzò infrastrutture in tutto il mondo causando danni superiori ai dieci miliardi di dollari secondo una valutazione della Casa Bianca. L’UE attribuisce inoltre al GRU gli attacchi alle centrali elettriche ucraine del 2015 e del 2016. Quattro membri dell’unità speciale vennero sanzionati per il tentato attacco alla rete Wi-Fi dell’OPCW nei Paesi Bassi.

Sul versante cinese e nordcoreano, individui e aziende cinesi vennero collegati all’operazione Cloud Hopper (2017-2018), mentre attori nordcoreani furono ricondotti all’attacco WannaCry e alle operazioni del gruppo APT38/Lazarus.

Il regime ha conosciuto una progressiva espansione. Il 27 gennaio 2025 il Consiglio ha adottato misure restrittive nei confronti di tre ufficiali del GRU dell’Unità 29155 (Nikolay Korchagin, Vitaly Shevchenko e Yuriy Denisov), responsabili di una serie di attacchi informatici condotti nel 2020 contro diversi ministeri del governo estone, inclusi i Ministeri degli Affari Economici e delle Comunicazioni, degli Affari Sociali e degli Affari Esteri, con furto di migliaia di documenti riservati contenenti segreti commerciali e dati sanitari. Con quelle designazioni il regime orizzontale cyber copriva 17 individui e 4 entità.

Queste designazioni non rappresentano un’azione isolata. Furono il risultato dell’«Operation Toy Soldier», uno sforzo di controintelligence senza precedenti coordinato da 14 servizi provenienti da 10 Paesi (Australia, Canada, Cechia, Estonia, Germania, Lettonia, Paesi Bassi, UK, Ucraina e USA), che ha collegato l’Unità 29155 a numerose operazioni cyber contro l’Ucraina e i suoi alleati NATO e UE. Come ha dichiarato Tanel Sepp, direttore generale del Dipartimento di Cyber Diplomazia del Ministero degli Esteri estone, «l’attribuzione nel cyberspazio non è un compito facile, ma oggi possiamo dimostrare chiaramente che possiamo farlo e continueremo a identificare i responsabili degli attacchi contro di noi».

La svolta più significativa è arrivata il 16 marzo 2026, quando il Consiglio ha ampliato il perimetro geografico delle designazioni ben oltre la Russia. Le nuove misure colpiscono tre entità e due individui:

Integrity Technology Group (Cina), collegata al gruppo statale cinese noto come Flax Typhoon, che tra il 2022 e il 2023 ha compromesso oltre 65.000 dispositivi in sei Stati membri; Anxun Information Technology (Cina, nota anche come i-Soon), che ha fornito servizi di hacking diretti alle infrastrutture critiche degli Stati membri e di Paesi terzi; Emennet Pasargad (Iran), responsabile di attacchi informatici e campagne di manipolazione delle informazioni in Francia contro il giornale Charlie Hebdo nel 2023 e contro le Olimpiadi di Parigi 2024. I due individui designati sono co-fondatori di una delle società cinesi.

Con queste aggiunte il regime orizzontale cyber si applica ora complessivamente a 19 individui e 7 entità. È la prima volta che l’Iran viene incluso esplicitamente in questo framework. Vale anche la pena sottolineare che le due società cinesi sanzionate dall’UE erano già state precedentemente sanzionate dal Regno Unito, confermando la tendenza al coordinamento sanzionatorio tra i due partner anche nel dominio cyber.

Parallelamente al regime cyber specifico, l’UE ha sviluppato un framework più ampio per rispondere alle attività destabilizzanti russe. Nel dicembre 2025 il Consiglio ha sanzionato 12 individui e due entità per il sostegno alle minacce ibride della Russia contro l’Europa, includendo tre persone legate all’Unità 29155 del GRU e al gruppo Cadet Blizzard, che hanno preso di mira Stati membri dell’UE e alleati NATO per acquisire informazioni sensibili e destabilizzarne la situazione politica.

La lista include anche il 142° Battaglione separato di guerra elettronica, basato a Kaliningrad, responsabile di disturbi ai sistemi di comunicazione e collegato ai recenti malfunzionamenti GPS nello spazio aereo di diversi Stati membri. Con le designazioni del 16 marzo 2026 (quattro ulteriori individui per attività di propaganda e disinformazione) il framework per le attività destabilizzanti della Russia si applica complessivamente a 69 individui e 17 entità.

Il processo di attribuzione: scienza, intelligence e politica

Comprendere il funzionamento del regime sanzionatorio implica confrontarsi con il problema più complesso nel dominio cyber: chi ha fatto cosa. L’attribuzione di un attacco informatico è un processo in tre fasi: prima si identificano i computer e le reti utilizzati nell’operazione; poi si stabilisce il collegamento con le persone fisiche responsabili; infine, lo Stato o gli Stati colpiti possono decidere di agire (tipicamente attraverso sanzioni) contro i responsabili.

Questo processo non è meramente tecnico: è profondamente politico. La questione della soglia di prova richiesta per una designazione rimane opaca. A differenza di un procedimento penale, le sanzioni non dipendono in linea di principio da alcuna determinazione di colpevolezza penale, ma l’attribuzione rimane cruciale perché consente a chi irroga le sanzioni di designare la responsabilità e giustificare le misure all’opinione pubblica.

Il caso Estonia è qui esemplare. Dietro una singola attribuzione pubblica, quattro anni di indagine e un’operazione coordinata da 14 servizi di dieci Paesi. Questo solleva una questione metodologica centrale: il processo di attribuzione è tanto più credibile quanto più è multilaterale. Non è un caso che le designazioni più solide siano sempre arrivate in scia a operazioni di condivisione dell’intelligence tra partner (come appunto Operation Toy Soldier), e non da iniziative unilaterali dei singoli Stati membri.

Il coordinamento dell’attribuzione avviene prevalentemente attraverso canali bilaterali tra gli Stati membri, senza un meccanismo centralizzato a livello UE. Questo crea asimmetrie notevoli: i Paesi con agenzie di intelligence più sviluppate (Paesi Bassi, Francia, Germania, Svezia, Estonia) tendono a svolgere un ruolo da traino nell’identificazione dei responsabili, mentre altri seguono. La questione si è acuita dopo la Brexit, privando l’UE dell’expertise del GCHQ nel circuito istituzionale europeo.

Il coordinamento con USA e UK: alleanza solida, architetture distinte

Il regime sanzionatorio europeo non opera nel vuoto: si inserisce in un ecosistema più ampio di misure restrittive occidentali. La tendenza alla coordinazione è strutturale: le sanzioni del luglio 2020 contro Russia, Cina e Corea del Nord arrivarono in parallelo con analoghi annunci da Washington e Londra.

Secondo il recente policy brief dell’European Policy Centre dedicato alle cyber sanctions UE-UK, la cooperazione tra i due partner è rimasta solida dopo la Brexit e fornisce una base stabile per ulteriori collaborazioni nel dominio cyber. Il regime britannico offre maggiore agilità e integrazione operativa, supportato da robuste capacità di intelligence e legami con il settore privato, pur dipendendo in misura ancora maggiore dalla cooperazione con i partner internazionali. Il framework UE beneficia di maggiore portata regolamentare, ma è vincolato da sfide legate principalmente al coordinamento dell’attribuzione, alla condivisione di informazioni, al processo decisionale e all’enforcement.

Nel maggio 2025 la dinamica coordinata è risultata particolarmente visibile: l’UE e il Regno Unito hanno lanciato una campagna sanzionatoria coordinata per colpire l’infrastruttura di guerra ibrida della Russia, coincidendo con il 17° pacchetto sanzionatorio europeo. Tra le entità designate figurava Stark Industries Solutions, un provider di hosting russo strettamente legato all’infrastruttura cybercriminale filo-russa, utilizzato dal gruppo DDoS NoName057(16) per attacchi contro obiettivi europei. A questo riguardo, le cyber sanctions come frammentazione digitale sono state analizzate approfonditamente anche sulle nostre pagine, dove emerge come le misure restrittive tendano a ridisegnare l’architettura stessa di internet in blocchi regionali sempre più separati.

Una nota dell’EUISS del maggio 2025 sottolinea che una task force bilaterale EU-UK sulle minacce ibride agevolerebbe il coordinamento e la condivisione di intelligence, particolarmente in un momento in cui strutture multilaterali più ampie potrebbero essere percepite come un ostacolo all’azione tempestiva, con preoccupazione crescente anche in seno all’alleanza Five Eyes per quanto riguarda la condivisione di intelligence con Washington.

I limiti strutturali: la regola dell’unanimità e il problema del deterrente

La critica più ricorrente al regime sanzionatorio cyber europeo non riguarda la sua architettura normativa (sostanzialmente solida) ma la sua governance politica. Il punto debole principale è la regola dell’unanimità.

Le decisioni e i regolamenti sulle sanzioni vengono adottati dal Consiglio dell’UE all’unanimità, in base al quadro della Politica Estera e di Sicurezza Comune (PESC). Questa regola, che riflette il carattere intergovernativo della PESC, consente a un singolo Stato membro di bloccare o ritardare qualsiasi designazione. Come ha analizzato il Verfassungsblog nell’ottobre 2025, la struttura del framework sanzionatorio è concepita in due passaggi (unanimità per le decisioni di principio e voto a maggioranza qualificata per le misure di implementazione), ma nella prassi i due passaggi vengono collassati in uno, amplificando la leva di un singolo veto. Il caso emblematico è quello dell’Ungheria, il cui uso sistematico del potere di blocco è diventato il simbolo di una PESC tendenzialmente disfunzionale.

Il problema non è teorico. Tra il 2011 e il 2025 si sono registrate almeno 45 opposizioni a decisioni di politica estera, e il caso di Cipro (che nel 2020 pose il veto alle sanzioni contro la Bielorussia per fare pressione sull’UE in una disputa con la Turchia) illustra come l’unanimità venga sempre più utilizzata come leva per strappare concessioni su temi non correlati.

Oltre all’unanimità, pesano le dimensioni numeriche del regime. Diciannove individui e sette entità (i numeri attuali del regime cyber orizzontale) appaiono esigui rispetto alla scala e alla frequenza delle operazioni ostili documentate. La valutazione del CSIS di marzo 2026 sottolinea che resilienza e sanzioni mirate sono necessarie ma non sufficienti da sole, e che l’Europa deve credibilmente sviluppare una capacità offensiva cyber in tempo di guerra, impegnarsi in contromisure cyber contro le attività di guerra ibrida e comunicare entrambe le cose in modo autorevole agli avversari.

Un terzo limite strutturale riguarda l’enforcement. L’efficacia delle misure restrittive (congelamento dei beni e divieto di viaggio) dipende dall’effettiva presenza di asset nell’UE da parte dei soggetti designati. Gli operatori di intelligence dei servizi russi o i componenti delle unità GRU tipicamente non detengono conti bancari in Europa né pianificano vacanze a Parigi. La deterrenza funziona su chi ha interessi patrimoniali nell’orbita europea; ha un effetto limitato su chi opera dall’interno di apparati statali stranieri o di aziende private (in Cina e Iran) che svolgono lavoro per conto di Pechino e Teheran.

Le proposte di riforma: verso una deterrenza più credibile

La consapevolezza dei limiti ha generato un dibattito vivace sulle riforme necessarie. Il contributo più sistematico e aggiornato è il policy brief di marzo 2026 dell’European Policy Centre, dedicato alla cooperazione EU-UK in materia di cyber sanctions.

Le raccomandazioni principali includono: rafforzare il coordinamento sull’attribution policy e la condivisione di intelligence; valutare il voto a maggioranza qualificata e le coalizioni dei volenterosi per le decisioni sanzionatorie; ampliare l’esposizione pubblica e l’attribuzione come strumenti di dissuasione complementari; prendere di mira gli ecosistemi più ampi che abilitano le operazioni cyber ostili; rafforzare la cooperazione con il settore privato riducendo le dipendenze strategiche; costruire campagne sanzionatorie sostenute attorno a narrative strategiche coerenti; e migliorare l’early warning e il coordinamento strategico sulle cyber sanctions tra UE e UK.

Sul fronte del voto a maggioranza qualificata, il dibattito si è intensificato. Come ha osservato l’Institut Jacques Delors in un documento del 2025, il meccanismo attuale lascia gli Stati membri esposti al ricatto politico. In piena conformità con il Trattato, non vi sarebbe motivo di ritenere che l’adozione di misure di implementazione delle sanzioni debba avvenire all’unanimità: la distinzione tra la decisione di principio (che richiede unanimità ex art. 29 TUE) e le misure di implementazione (modificabili con voto a maggioranza qualificata ex art. 215 TFEU) potrebbe essere recuperata per ridurre la leva del singolo veto.

Sul piano operativo, la risposta europea al problema dell’attribuzione punta sempre più su un approccio “ecosistemico”: anziché designare soltanto i singoli operatori, si mira a colpire l’intera catena di supporto (infrastrutture di hosting, intermediari finanziari, piattaforme di disinformazione, fornitori di strumenti). La designazione di Stark Industries Solutions nel maggio 2025 e quelle di marzo 2026 contro Integrity Technology Group e Anxun/i-Soon (due aziende private che svolgono funzioni di hacking-as-a-service per conto di attori statali) vanno esattamente in questa direzione.

Sul fronte istituzionale, il 16 marzo 2026 il Consiglio ha approvato conclusioni sull’avanzamento della capacità dell’UE di contrastare le minacce ibride, riaffermando la determinazione dell’Unione in questo dominio e consolidando la prospettiva di un EU hybrid toolbox sempre più integrato. Emerge anche la proposta italiana: nel novembre 2025 il Ministro della Difesa Guido Crosetto ha avanzato l’ipotesi di un organismo counter-hybrid a livello UE, affiancato da un corpo nazionale denominato Arma Cyber con un organico iniziale di 1.200-1.500 unità destinato a espandersi progressivamente fino a 5.000, inclusi i riservisti.

Il contesto della guerra ibrida: sanzioni come segnale, non come soluzione

Valutare l’efficacia delle sanzioni cyber significa confrontarsi con una domanda scomoda: a cosa servono, esattamente? Se l’obiettivo è fermare gli attacchi, l’evidenza empirica non è confortante.

Nel solo dicembre 2025, la Germania ha attribuito pubblicamente vari incidenti cyber ad attori russi, tra cui un attacco dell’agosto 2024 al controllo del traffico aereo tedesco ricondotto ad APT28 e una campagna di information operations contro obiettivi tedeschi. La Danimarca ha accertato che la Russia era dietro due attacchi definiti “distruttivi e perturbatori”, tra cui uno contro un’utility idrica e uno che ha disturbato siti istituzionali durante le elezioni locali del novembre 2025. Come abbiamo già documentato nell’analisi della cybercrisi italiana del 2025, il gruppo NoName057(16) ha trasformato il cybercrime da attività criminale sporadica a operazione geopolitica sistematica, con effetti diretti anche sul tessuto istituzionale italiano.

Se invece l’obiettivo è segnalare che certe condotte sono inaccettabili e costruire una norma internazionale condivisa, le sanzioni assolvono meglio la loro funzione. Ogni designazione è anche un atto di public attribution: fissa nella documentazione ufficiale dell’UE la responsabilità di specifici individui, unità e aziende per attacchi specifici. Questo ha valore politico-diplomatico, anche se i diretti interessati raramente perdono il sonno.

Come sottolinea il rapporto del CEPA del dicembre 2025, la resilienza da sola non fermerà la guerra ibrida: gli alleati devono affiancare alla deterrenza per negazione una deterrenza per punizione. Le contromisure pratiche dovrebbero includere l’attribuzione pubblica e il naming-and-shaming, la condivisione rafforzata di intelligence NATO-UE, lo smantellamento delle reti di disinformazione e la sanzione mirata di élite e reti di supporto. Un approccio coordinato NATO-UE è essenziale per allineare le leve economiche e giuridiche europee con le capacità militari e cyber dell’Alleanza, impedendo agli avversari di sfruttare le divisioni.

Conclusioni: un framework che deve crescere

Sei anni dopo la sua istituzione, il regime sanzionatorio cyber dell’UE ha dimostrato di poter funzionare: ha prodotto designazioni concrete, ha costruito una giurisprudenza politica condivisa sull’attribuzione, ha favorito il coordinamento con partner chiave. Le ultime designazioni di marzo 2026 (con l’inclusione esplicita di Cina e Iran accanto alla Russia) segnalano la maturazione del regime verso una visione davvero multilaterale della minaccia cyber. Il fatto che il quadro giuridico sia stato prorogato fino al maggio 2028 segnala la volontà politica di mantenere e sviluppare questo strumento nel lungo periodo.

Le sfide strutturali rimangono aperte. La regola dell’unanimità espone il meccanismo alla paralisi politica. La lista dei designati è numericamente esigua rispetto alla portata delle operazioni ostili documentate. L’approccio tradizionale (sanzionare individui specifici) mostra i suoi limiti contro apparati statali che operano con sostituibilità sistemica e contro ecosistemi privati di hacking-as-a-service che proliferano in Cina, Russia e Iran.

Il futuro del framework dipenderà dalla capacità di tre evoluzioni parallele: una riforma della governance decisionale che riduca il rischio del veto singolo attraverso la corretta applicazione della distinzione tra art. 29 TUE e art. 215 TFEU; un ampliamento dell’approccio sanzionatorio verso l’ecosistema abilitante delle operazioni cyber ostili; e un rafforzamento strutturale del coordinamento intelligence con USA e UK in un momento in cui le certezze atlantiche appaiono meno scontate.

La diplomazia coercitiva nel cyberspazio non è un’alternativa alla deterrenza militare o alla resilienza difensiva: è un pezzo di un puzzle più complesso. Ma è un pezzo che l’Europa ha il dovere di tenere affilato e di usare con maggiore rapidità, coraggio e precisione di quanto la storia recente abbia dimostrato.

Condividi sui Social Network:

Ultimi Articoli