Non si combatte più soltanto con i carmi armati, come ha affermato il ministro della Difesa Guido Crosetto, “ma con i dati, con le menti, con le percezioni“. In questo nuovo panorama di minacce, la resilienza del sistema-Paese non dipende più dalla sola capacità di contenimento militare, ma dall’integrazione stretta tra difesa fisica, cybersicurezza, intelligenza artificiale e una nuova visione della protezione delle infrastrutture critiche come un ecosistema coeso e distribuito.

Introduzione strategica

In un contesto geopolitico caratterizzato da una crescente conflittualità multidimensionale, l’Italia si trova ad affrontare una sfida senza precedenti: la guerra ibrida. Si tratta di un conflitto che abbandona i fronti tradizionali per permeare simultaneamente il dominio fisico, quello informatico e la dimensione cognitiva della società.

Non si combatte più soltanto con i carmi armati, come ha affermato il ministro della Difesa Guido Crosetto, “ma con i dati, con le menti, con le percezioni“. In questo nuovo panorama di minacce, la resilienza del sistema-Paese non dipende più dalla sola capacità di contenimento militare, ma dall’integrazione stretta tra difesa fisica, cybersicurezza, intelligenza artificiale e una nuova visione della protezione delle infrastrutture critiche come un ecosistema coeso e distribuito.

Michelangelo Dome, il sistema di difesa integrata presentato di recente da Leonardo, rappresenta una risposta significativa alla prima dimensione di questa sfida – il coordinamento multidominio tra sensori e effettori fisici. Accanto a essa, tuttavia, emerge una questione strategica ancora più profonda: come costruire un vero “sistema immunitario digitale” nazionale, capace di rilevare, intercettare e contenere minacce distribuite su migliaia di infrastrutture critiche, dal settore energetico ai trasporti, dalla sanità alle telecomunicazioni, con velocità e intelligenza pari o superiore a quella degli attaccanti.

La minaccia ibrida: contesto geopolitico e vulnerabilità nazionale

Il nuovo scenario di conflittualità

La guerra ibrida non è più una teoria o uno scenario futuro: è la realtà operativa di ogni Stato occidentale contemporaneo. Nel novembre 2025, il Consiglio Supremo di Difesa italiano ha formalizzato la consapevolezza di questa minaccia, sottolineando i gravi rischi derivanti da “attività offensive fondate sulla velocità, sul volume e sull’ubiquità della tecnologia digitale, nonché sull’impiego malevolo dell’Intelligenza Artificiale”.

Il conflitto in Ucraina ha dimostrato come le operazioni militari convenzionali si intreccino inestricabilmente con campagne di disinformazione, attacchi informatici coordinati, sabotaggio di infrastrutture critiche e guerra cognitiva. Attori statali e non-statali operano in parallelo: mentre forze armate convenzionali agiscono sul terreno, gruppi hacker filo-governativi (spesso con affiliazione russa, come NoName057 e Killnet) conducono attacchi DDoS coordinati contro infrastrutture civili, siti istituzionali e servizi pubblici. Questi attacchi, apparentemente “soft” in termini di danno immediato, nascondono un obiettivo strategico: sondare le difese, dimostrare vulnerabilità, influenzare la percezione pubblica dell’efficienza dello Stato e testare capacità di risposta.

L’Italia, per sua posizione geografica e ruolo geopolitico, è un bersaglio primario. Il Rapporto OAD 2025 (Osservatorio Attacchi Digitali dell’AIPSI) rivela dati allarmanti: il 71% delle organizzazioni nazionali intervistate ha subito almeno un attacco informatico, con modalità sempre più sofisticate. Gli attacchi multi-tecnica combinata (37% dei casi) superano ormai gli attacchi isolati, rivelando un livello di coordinamento e preparazione che suggerisce il coinvolgimento di attori organizzati e ben finanziati.

Le infrastrutture critiche come obiettivo strategico

Le infrastrutture critiche costituiscono il sistema nervoso di una nazione moderna: reti energetiche, sistemi di trasporto, telecomunicazioni, sanità, finanza. Ogni interruzione, alterazione o compromissione di questi asset genera effetti a cascata potenzialmente catastrofici. Nel contesto di una guerra ibrida, queste infrastrutture rappresentano il bersaglio primario non perché colpirle comporti perdite umane immediate (anche se possibile), ma perché la loro paralisi o disfunzione è in grado di erodere la fiducia nelle istituzioni e di paralizzare i servizi essenziali da cui dipende la qualità della vita dei cittadini.

Il Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico riconosce che “la sofisticazione degli attacchi informatici e la connessione in rete delle nostre infrastrutture crescono ad un ritmo tale che la stessa stabilità e sicurezza del Paese possono essere gravemente pregiudicate”. La natura interconnessa e interdipendente di questi sistemi amplifica il rischio: il compromesso di un singolo nodo può propagarsi attraverso reti critiche adiacenti, generando impatti sproporzionati.

Il ruolo della compliance normativa e i limiti della protezione passiva

L’Unione Europea ha risposto a questa sfida con una serie di normative ambizionali: la Direttiva NIS2 (Network and Information Systems Directive 2), il Regolamento DORA (Digital Operational Resilience Act) e il Regolamento sulla Resilienza Critica (CER). Questi strumenti mirano a elevare il livello di sicurezza e resilienza complessivo del sistema attraverso obblighi armonizzati, test regolari, governance integrata e condivisione di informazioni sulle minacce.

Tuttavia, numerosi analisti e operatori della sicurezza segnalano un gap fondamentale: la compliance normativa è una condizione necessaria ma non sufficiente. Le normative tendono a fissare standard minimi, mentre il panorama delle minacce evolve a velocità maggiore rispetto alla capacità di adeguamento normativo. Inoltre, la conformità a requisiti statici non garantisce resilienza dinamica: un’organizzazione può essere conforme a DORA e NIS2 ma comunque risultare vulnerabile a tecniche di attacco sofisticate o zero-day, soprattutto se manca una capacità di detection e risposta intelligente, basata su AI e analisi comportamentale.

Michelangelo Dome: l’architettura di difesa multidominio

La cupola di sicurezza nazionale

Michelangelo Dome rappresenta una visione integrata della difesa nazionale che esplora esplicitamente il concetto di interconnessione tra domini tradizionali (terrestre, aereo, navale, spaziale) e il ruolo sempre più centrale della cyber-difesa e dell’intelligenza artificiale.

L’architettura del sistema combina:

– Sensori di nuova generazione (terrestri, navali, aerei e spaziali) che raccolgono segnali su minacce fisiche e cyber

– Piattaforme di cyber difesa che proteggono e monitorano il dominio informativo

– Sistemi di comando e controllo che coordinano la risposta operativa

– Algoritmi predittivi AI che analizzano patterns, anticipano comportamenti ostili e ottimizzano l’allocazione delle risorse difensive

– Effettori coordinati che implementano le azioni di neutralizzazione

L’elemento innovativo è la fusione avanzata dei dati provenienti da molteplici fonti, elaborati da modelli di intelligenza artificiale capaci di correlazione multi-dominio. Questo consente al sistema di individuare, tracciare e neutralizzare minacce anche in caso di attacchi massivi e simultanei, su tutti i dominii di operazione: dall’aereo-missilistico (inclusi missili ipersonici e sciami di droni) alla superficie e sotto-superficie marina, fino alle forze terrestri.

L’autonomia strategica europea e il ruolo italiano

Michelangelo Dome si inserisce in una strategia più ampia di autonomia strategica europea, il cui obiettivo è ridurre la dipendenza tecnologica dai fornitori extraeuropei e consolidare le capacità difensive del continente in modo indipendente. L’articolazione del progetto sottolinea come Leonardo, attraverso questa soluzione, confermi il ruolo dell’Italia come “leader europeo nella sicurezza multidominio”, valorizzando le eccellenze industriali nazionali e la capacità di innovazione tecnologica del Paese.

Tuttavia, la visione della “cupola” focalizzata primariamente su minacce fisiche e missilistiche rappresenta solo una metà della sfida. La vera battaglia della guerra ibrida si combatte nel dominio cyber, dove il vantaggio non spetta necessariamente a chi possiede la forza bruta, ma a chi sa rilevare anomalie, correlare segnali deboli e rispondere con velocità e precisione. Qui, il sistema di difesa nazionale deve evolvere da un modello centralizzato e reattivo a un modello distribuito, adattivo e proattivo.

Il paradigma del sistema immunitario digitale distribuito

Oltre la protezione: dalla difesa statica alla resilienza dinamica

Le infrastrutture critiche contemporanee non possono più essere protette come fortezze: la loro complessità, interdipendenza e dinamica richiedono una nuova concezione della difesa. Il Rapporto OAD 2025 invoca un cambio di paradigma esplicito: “la sicurezza non può più essere concepita come un muro da innalzare, ma come la capacità di reagire, resistere e ripristinare rapidamente i servizi dopo un attacco (resilienza)”.

Questa visione allinea il concetto di sicurezza informatica con quello di un sistema immunitario biologico distribuito: non un singolo organo centrale che controlla tutto, ma una rete capillare di sensori, risponditori e decisori sparsi su tutto l’organismo nazionale, capaci di:

1. Rilevare anomalie in tempo reale, anche sottili o distribuite

2. Comunicare velocemente informazioni rilevanti ai nodi adiacenti e al centro di coordinamento

3. Neutralizzare localmente minacce contenendone la propagazione

4. Imparare continuamente dai tentativi di attacco per adattare le difese

Gli elementi di un sistema immunitario efficace

Un sistema immunitario digitale efficace per le infrastrutture critiche nazionali richiede:

1. Visibilità Unificata

Integrazione trasparente di tutti i sistemi critici (energetici, sanitari, finanziari, dei trasporti, delle telecomunicazioni) in una vista olistica che consenta di comprendere l’interdipendenza, i punti di rottura critica e i rischi sistemici. Questo non significa raccogliere tutti i dati in un singolo centro, ma creare protocolli di interoperabilità che permettano una comprensione condivisa dello stato di salute del sistema nazionale.

2. Detection Comportamentale Distribuita

Ogni nodo infrastrutturale deve essere equipaggiato con capacità di rilevamento autonomo di anomalie non basate su regole predefinite (che inevitabilmente invecchiano) ma su modelli comportamentali adattivi. L’accesso, il flusso di dati, l’utilizzo di risorse, il movimento di account privilegiati e di entità non-umane (API, servizi, bot) devono essere continuamente monitorati alla ricerca di deviazioni significative da pattern storici.

3. Correlazione Multi-Livello

Le anomalie rilevate a livello locale devono essere correlate non solo all’interno di un singolo asset, ma anche orizzontalmente (tra asset omologhi), verticalmente (tra layer di infrastruttura: OT, IT, IoT) e temporalmente (tracciamento di campagne multi-fase nel tempo). Questa correlazione consente di elevare alert apparentemente isolati a incident rilevanti e di identificare attacchi sofisticati che sfuggirebbero a una detection meramente locale.

4. Response Automatizzata e Coordinata

In una guerra ibrida, la velocità di risposta è critica. Un essere umano impiega minuti per capire una minaccia e prendere decisioni; un attaccante sofisticato sfrutta secondi. I sistemi devono essere equipaggiati con playbook automatizzati che, una volta rilevata una minaccia con severità sufficientemente alta, attivino automaticamente azioni di mitigazione.

5. Condivisione Contestuale di Intelligence

Un sistema immunitario nazionale non funziona se ogni organizzazione opera in silos. È necessario che organizzazioni pubbliche e private condividano informazioni su attacchi, vulnerabilità e tecniche emergenti, mantenendo ovviamente il controllo su dati sensibili e mantenendo la sovranità su algoritmi e decisioni critiche.

Verso un’architettura nazionale: suggestioni e raccomandazioni strategiche

La convergenza tra protezione fisica, cyber e AI

Michelangelo Dome nasce per integrare domini fisici e informatici sotto una direzione unica. Per la realizzazione di un vero sistema immunitario digitale distribuito, è essenziale che questa integrazione si estenda dall’ambito puramente difesa-militare all’intero sistema paese, includendo infrastrutture critiche civili, organizzazioni pubbliche locali, operatori privati di servizi essenziali e, in misura crescente, aziende tecnologiche e di telecomunicazioni.

La visione suggerita è quella di una architettura nazionale stratificata:

– Livello centrale (Michelangelo Dome esteso al cyber): coordinamento strategico, correlazione di segnali multi-livello provenienti da tutta la nazione, decisioni di policy e deterrenza.

– Un Livello di settore: centri operativi (SOC) specializzati per energia, sanità, finanza, trasporti, telecomunicazioni, in grado di monitorare e rispondere a minacce specifiche del dominio.

– Livello di singola infrastruttura: sensori distribuiti, detection locale, risposta autonoma e rapporto verso i livelli superiori.

Questa architettura rispecchia il modello suggerito dal “MindShield” – un approccio multilivello di analisi predittiva, rilevamento precoce e cooperazione transnazionale per la difesa delle infrastrutture critiche – e ripropone il modello di cybersicurezza civile-militare già sperimentato con successo da Paesi come l’Estonia.

Il ruolo della tecnologia: intelligenza artificiale e automazione

L’intelligenza artificiale non è un accessorio nella difesa ibrida, ma una necessità strutturale. La velocità e il volume degli attacchi contemporanei (7.000 attacchi su identità al secondo a livello globale, secondo i dati Gartner) rendono impossibile per squadre umane di analisti di fornire una risposta tempestiva senza automazione intelligente.

Tuttavia, l’AI nella cybersecurity nazionale deve avere caratteristiche specifiche:

– Explainability: ogni decisione critica deve essere tracciabile e comprensibile dai responsabili della sicurezza e dalle autorità di controllo

– Resilienza: i modelli devono essere robusti rispetto a tentativi di adversarial attack e poisoning da parte di attaccanti sofisticati

– Sovranità: gli algoritmi critici, i dataset di addestramento e l’infrastruttura di computazione devono essere sotto controllo nazionale, evitando dipendenze da servizi cloud internazionali non controllati

– Interoperabilità: i modelli e i segnali di detection devono poter essere condivisi tra diverse organizzazioni, settori e livelli della difesa, con protocolli standardizzati

La sinergia pubblico-privato come pilastro strategico

La guerra ibrida non distingue tra obiettivi pubblici e privati. Le reti di trasporto pubbliche sono gestite da operatori privati; i servizi sanitari dipendono da fornitori di cloud privati; le telecomunicazioni su cui poggia la difesa nazionale sono in mano a operatori privati. Questa realtà implica che **la difesa nazionale del cyberspazio non può essere responsabilità della sola amministrazione pubblica**, ma richiede una stretta e permanente collaborazione con il settore privato.

La strategia italiana di cyber difesa, illustrata dal ministro Crosetto, riconosce esplicitamente questa realtà, proponendo un modello che integri:

– Forze armate e strutture di difesa: capacità offensive-difensive specializzate, addestramento continuo, prontezza operativa

– Agenzia per la Cybersicurezza Nazionale (ACN): coordinamento strategico, normativa, condivisione di intelligence

– Settore privato: forze qualificate di sicurezza informatica, infrastrutture critiche, innovazione tecnologica

– Mondo accademico e ricerca: sviluppo di tecnologie di prossima generazione, training specializzato, analisi indipendente

Un modello di questa complessità richiede governance chiara, mandati espliciti, meccanismi di condivisione dell’informazione definiti e, soprattutto, una volontà politica di lungo termine che superi le legislature e i cicli amministrativi.

La difesa ibrida come elemento di competitività globale

Infine, è importante sottolineare che la capacità di una nazione di resistere e prosperare in un ambiente di guerra ibrida non è soltanto una questione di sicurezza e deterrenza, ma diventa sempre più un fattore di competitività economica e tecnologica globale. Paesi che riescono a costruire infrastrutture critiche resilienti, dotate di AI avanzata e di governance adattiva, attirano investimenti, talenti e partnership internazionali.

L’Italia, con la sua base industriale nel settore difesa (Leonardo), la sua capacità innovativa nel software e nella cybersecurity, la sua posizione geografica strategica e il suo ruolo centrale nell’Unione Europea e nella NATO, ha tutti gli elementi per emergere come un centro di eccellenza globale nella difesa ibrida e nella resilienza digitale. Questo, però, richiede investimenti massicci, una chiara visione strategica di lungo termine e la capacità di attrarre e mantenere i migliori talenti nel settore.

Conclusioni

La sfida della guerra ibrida contemporanea non può essere risolta con soluzioni isolate, per quanto avanzate. Michelangelo Dome rappresenta un passo decisivo nell’integrazione della difesa fisica e nella direzione unica del coordinamento multidominio. Ma il vero progresso si realizzerà quando questa visione di “cupola” si estenderà a coprire l’intero ecosistema digitale e critico della nazione, creando un vero sistema immunitario nazionale: distribuito, intelligente, adattivo, resiliente.

Questo sistema richiede una convergenza di capacità che l’Italia possiede: visione strategica (come dimostrato dalle recenti iniziative del Consiglio Supremo di Difesa), eccellenza industriale (Leonardo e l’ecosistema della difesa), competenze tecnologiche diffuse nel settore privato e una comunità accademica di primo livello. Ciò che manca è talvolta la velocità di implementazione e la capacità di mantenere coesione attraverso i cicli politici.

Il prossimo decennio sarà cruciale. Le minacce ibride continueranno a evolversi, gli attori ostili continueranno a innovare tecniche di attacco, e l’intelligenza artificiale amplierà ulteriormente il numero e la sofisticazione delle minacce possibili. L’Italia ha la possibilità di emergere come leader europeo non soltanto nella difesa missilistica, ma nella **difesa ibrida integrata**, posizionandosi come riferimento per resilienza digitale, intelligenza artificiale controllata e collaborazione pubblica-privata virtuosa. La finestra di opportunità, però, è limitata e richiede decisioni e investimenti decisi a partire da oggi.

Vai al sito di Cybersecurity Italia.

L'articolo La difesa ibrida dell’Italia: dalla minaccia geopolitica a Michelangelo Dome, verso un’immunità digitale distribuita sembra essere il primo su CyberSecurity Italia.