C’era un tempo in cui la distinzione tra ransomware criminale e cyberwarfare di stato era ragionevolmente netta. Da un lato, gruppi criminali organizzati che cifravano dati aziendali in cerca di un riscatto in Bitcoin. Dall’altro, agenzie di intelligence statali che conducevano operazioni di spionaggio e sabotaggio silenzioso. Quella distinzione esiste ancora sulla carta ma nella pratica del 2025 è diventata sempre più sfumata, tanto da essere esplicitamente riconosciuta nella Relazione Annuale sulla Politica dell’Informazione per la Sicurezza 2025, che segnala come i ransomware vengano oggi ampiamente impiegati per finalità di spionaggio, influenza, disturbo e sabotaggio digitale, tipicamente perseguite da attori di matrice statuale.

Questa evoluzione ha conseguenze pratiche significative per qualsiasi organizzazione. Un’azienda colpita da ransomware non può più assumere con certezza di trovarsi di fronte a criminalità organizzata comune motivata dal profitto. Potrebbe essere il vettore di un’operazione di intelligence che mira a esfiltrare dati prima della cifratura, usarla come trampolino verso altri sistemi nella supply chain, o semplicemente destabilizzare un settore economico strategico. Il ransomware funziona anche come copertura: chi lo subisce informa di un attacco criminale, non necessariamente di una violazione da parte di attori statali.

Gli APT e il 50% che cambia tutto

La Relazione di sicurezza nazionale 2025 riporta un dato che merita attenzione: nel panorama degli attacchi cyber contro obiettivi italiani rilevanti, le offensive attribuite ad attori riconducibili ad apparati governativi stranieri rappresentano oggi il 50% degli attacchi rilevati, con un incremento di 12 punti percentuali rispetto al 2023. Gli APT (Advanced Persistent Threats) sono caratterizzati da operazioni particolarmente mirate e persistenti: non cercano un accesso rapido per installare un ransomware e scappare, ma si insediano nelle reti per mesi o anni, raccogliendo informazioni, mappando infrastrutture e posizionandosi per azioni future.

La differenza tra un attacco APT e un attacco criminale comune non è sempre visibile dall’esterno. Entrambi possono sfruttare le stesse vulnerabilità, usare gli stessi strumenti, muoversi lateralmente allo stesso modo. La differenza sta negli obiettivi e nel tempo: un criminale vuole monetizzare rapidamente, un APT vuole persistere inosservato. Questo rende gli APT molto più difficili da rilevare con i soli strumenti di sicurezza perimetrale tradizionale.

Il ransomware come arma ibrida

La fusione tra operazioni di intelligence e ransomware criminale avviene in diverse modalità. La prima è l’utilizzo da parte di attori statali di ransomware sviluppati originariamente da gruppi criminali, acquistati o in licenza dai loro creatori. La seconda è il finanziamento statale a gruppi criminali in cambio di operazioni contro obiettivi specifici. La terza, più sottile, è l’operazione sotto falsa bandiera: un attore statale conduce un attacco che appare criminale per nascondere le sue reali intenzioni.

Per le aziende italiane, questo significa che la vecchia logica “non siamo un target interessante per i servizi segreti stranieri” va aggiornata. Una PMI manifatturiera che produce componentistica per il settore difesa, aerospaziale o energetico è potenzialmente interessante per intelligence straniere, anche se il suo fatturato è di pochi milioni di euro. Allo stesso modo, un fornitore di software per la pubblica amministrazione potrebbe essere un vettore di accesso a sistemi molto più critici dei suoi.