Sommario
* L'attacco a Venezia: cosa è successo * Chi sono gli Infrastructure Destruction Squad * Come è avvenuta la violazione * Le vulnerabilità del sistema di difesa idraulica * Non è questione di soldi: la strategia dell'intimidazione * Dall'Università La Sapienza agli Uffizi: un'escalation preoccupante * Il cyber-terrorismo come nuova arma geopolitica * Cosa resta da fare: la difesa digitale delle infrastrutture critiche
L'attacco a Venezia: cosa è successo
Piazza San Marco, il cuore pulsante di Venezia, è da secoli il simbolo della fragilità e della resilienza di una città costruita sull'acqua. Milioni di turisti la attraversano ogni anno, spesso inconsapevoli del sofisticato sistema di pompe idrauliche che la protegge dalle maree e dall'acqua alta. Quel sistema, progettato per garantire la fruibilità della piazza anche durante gli eventi meteorologici più severi, è finito nel mirino di un gruppo hacker internazionale. La rivendicazione è arrivata attraverso i canali abitualmente utilizzati dalle organizzazioni cybercriminali: il collettivo che si firma «Infrastructure Destruction Squad», conosciuto anche come «Dark Engine», ha dichiarato di aver penetrato il sistema di gestione del rischio allagamenti. Non si tratta di un attacco qualunque. Gli hacker sostengono di aver sottratto le credenziali amministrative del sistema, il che significherebbe, almeno in teoria, la capacità di controllare le pompe da remoto. Di attivarle, disattivarle, manipolarle. La notizia ha generato un'ondata di preoccupazione tra le autorità veneziane e nazionali, sollevando una domanda che fino a pochi anni fa sarebbe parsa fantascientifica: cosa accadrebbe se qualcuno, da un terminale remoto, decidesse di lasciare piazza San Marco in balia dell'acqua?
Chi sono gli Infrastructure Destruction Squad
Il gruppo Dark Engine, come viene più frequentemente identificato dagli analisti di cybersicurezza, non è un collettivo improvvisato. Le tracce digitali raccolte dalle agenzie di intelligence lo collocano in un'area grigia tra l'hacktivismo e il cyber-terrorismo sponsorizzato, con legami che puntano verso ambienti geopolitici dell'area asiatica e russa. Non è la prima volta che questo nome compare nelle cronache della sicurezza informatica internazionale. Il modus operandi del gruppo segue uno schema riconoscibile: individuare infrastrutture critiche di Paesi occidentali, penetrarne i sistemi di controllo, e poi rivendicare pubblicamente l'azione con toni provocatori. L'obiettivo non è mai stato, almeno apparentemente, il profitto economico diretto. È piuttosto una dimostrazione di forza, un messaggio rivolto ai governi. Nel caso veneziano, gli hacker si sono spinti oltre la semplice rivendicazione: hanno dichiarato di poter disattivare le difese idriche, allagare aree costiere e utilizzare questo potere come leva politica contro lo Stato italiano. Una minaccia che, indipendentemente dalla sua effettiva realizzabilità tecnica, ha il peso di un avvertimento. Il profilo del gruppo suggerisce una struttura organizzata, dotata di competenze tecniche avanzate e di una strategia comunicativa calibrata per massimizzare l'impatto mediatico di ogni operazione.
Come è avvenuta la violazione
Ricostruire con precisione la dinamica dell'attacco richiede cautela, poiché le indagini sono ancora in corso. Tuttavia, gli elementi finora emersi permettono di tracciare un quadro abbastanza chiaro. L'intrusione sarebbe avvenuta sfruttando una catena di vulnerabilità che parte dall'anello più debole di qualsiasi sistema informatico: il fattore umano. Secondo le prime analisi, il vettore iniziale dell'attacco potrebbe essere stato un classico tentativo di phishing mirato, indirizzato a personale tecnico con accesso ai sistemi di controllo. Una volta ottenute le prime credenziali, gli hacker avrebbero effettuato un movimento laterale all'interno della rete, scalando progressivamente i privilegi di accesso fino a raggiungere il livello amministrativo. La tecnica è nota come privilege escalation e rappresenta uno dei passaggi più critici in un attacco informatico complesso. Il sistema di pompe di piazza San Marco, come molte infrastrutture di controllo industriale in Italia, si basa su protocolli SCADA (_Supervisory Control and Data Acquisition_), piattaforme progettate per il monitoraggio e la gestione remota di impianti fisici. Questi sistemi, nati in un'epoca in cui la connessione a Internet non era prevista, presentano spesso interfacce esposte alla rete con protezioni insufficienti. È probabile che proprio questa esposizione abbia rappresentato la porta d'ingresso principale per gli attaccanti.
Le vulnerabilità del sistema di difesa idraulica
Il problema non riguarda solo Venezia. Le infrastrutture critiche italiane soffrono di una fragilità strutturale sul piano della cybersicurezza che gli esperti denunciano da anni. Nel caso specifico del sistema di pompe a protezione di piazza San Marco, diverse criticità convergono. Innanzitutto, l'architettura del sistema risale a un periodo in cui la minaccia cyber non veniva considerata una priorità progettuale. I protocolli di comunicazione tra le pompe e la centrale di controllo non sempre prevedono crittografia end-to-end, il che rende i dati in transito potenzialmente intercettabili. In secondo luogo, la gestione degli accessi presenta lacune significative: l'assenza di autenticazione a più fattori per gli account amministrativi è una vulnerabilità grave, quasi elementare per gli standard attuali. C'è poi la questione degli aggiornamenti software. I sistemi SCADA industriali vengono aggiornati con frequenza molto inferiore rispetto ai software commerciali, spesso per timore che un aggiornamento possa causare malfunzionamenti agli impianti fisici collegati. Questo crea finestre di esposizione prolungate, durante le quali vulnerabilità note restano sfruttabili. Infine, la segmentazione della rete, ovvero la separazione tra i sistemi operativi e la rete Internet pubblica, risulta in molti casi insufficiente, permettendo a un attaccante di raggiungere i sistemi di controllo partendo da un punto di accesso periferico.
Non è questione di soldi: la strategia dell'intimidazione
Uno degli aspetti più rivelatori di questo attacco è il prezzo che gli hacker hanno fissato per cedere l'accesso al sistema compromesso: 600 dollari. Una cifra irrisoria, quasi provocatoria, se rapportata al valore strategico di un'infrastruttura che protegge uno dei luoghi più iconici del pianeta. Quel numero non è casuale. È un messaggio. Dice, in sostanza, che il valore dell'operazione non risiede nel denaro, ma nella dimostrazione di potere. Se l'obiettivo fosse stato economico, il riscatto avrebbe avuto ben altre dimensioni, come accade nei classici attacchi ransomware che colpiscono aziende e ospedali chiedendo milioni di euro in criptovalute. Qui la logica è diversa e più inquietante. L'intento è politico e dimostrativo: mostrare al mondo, e in particolare al governo italiano, che le infrastrutture vitali del Paese sono penetrabili. Che l'acqua di Venezia, la corrente elettrica di una città, il sistema idrico di una regione possono diventare armi nelle mani di chi sa dove colpire. È una forma di pressione psicologica che punta a erodere la fiducia dei cittadini nella capacità dello Stato di proteggerli. Non servono esplosioni quando basta un terminale per generare il caos. Il danno reputazionale, economico e sociale di un allagamento controllato di piazza San Marco sarebbe incalcolabile, ben oltre qualsiasi riscatto monetario.
Dall'Università La Sapienza agli Uffizi: un'escalation preoccupante
L'attacco al sistema idraulico veneziano non è un episodio isolato, ma l'ultimo tassello di una sequenza crescente di aggressioni informatiche a siti di rilevanza nazionale. Prima è toccato all'Università La Sapienza di Roma, il più grande ateneo d'Europa, i cui sistemi informatici sono stati violati con sottrazione di dati sensibili di studenti e docenti. Poi è stata la volta degli Uffizi di Firenze, dove l'intrusione ha colpito i sistemi di biglietteria e gestione delle collezioni digitali. Ogni attacco ha alzato l'asticella. Dalla sottrazione di dati personali si è passati alla compromissione di sistemi gestionali, fino ad arrivare, con Venezia, alla potenziale manipolazione di infrastrutture fisiche con conseguenze dirette sulla sicurezza delle persone. Questa progressione racconta una strategia deliberata: colpire simboli sempre più sensibili per amplificare l'effetto mediatico e la percezione di vulnerabilità. La Sapienza rappresenta il sapere, gli Uffizi la cultura, Venezia la sopravvivenza stessa di una città. Non è un caso che i bersagli scelti siano tutti luoghi ad altissimo valore simbolico per l'identità italiana. L'escalation suggerisce che i prossimi obiettivi potrebbero riguardare infrastrutture ancora più critiche: reti energetiche, sistemi sanitari, trasporti. Il pattern è chiaro e ignorarlo sarebbe un errore grave.
Il cyber-terrorismo come nuova arma geopolitica
Ciò che sta emergendo dal caso veneziano, e più in generale dalla serie di attacchi che hanno colpito l'Italia negli ultimi mesi, è l'affermazione di una nuova forma di terrorismo. Non ci sono esplosioni, non ci sono vittime immediate, non ci sono immagini drammatiche da trasmettere nei telegiornali. Eppure l'impatto è potenzialmente devastante. Un attacco che metta fuori uso il sistema di protezione dall'acqua alta durante una marea eccezionale potrebbe causare danni per centinaia di milioni di euro, paralizzare il turismo veneziano per settimane, mettere a rischio il patrimonio artistico custodito nella Basilica di San Marco. Tutto questo senza che un singolo attentatore metta piede sul territorio italiano. Il cyber-terrorismo ridefinisce le regole del conflitto asimmetrico: gruppi relativamente piccoli, con risorse limitate ma competenze tecniche elevate, possono tenere in scacco interi Paesi. La dimensione geopolitica è evidente. Gli attacchi attribuiti a gruppi con legami nell'area russo-asiatica si inseriscono in un contesto di guerra ibrida che utilizza il cyberspazio come campo di battaglia complementare a quelli tradizionali. L'Italia, con le sue infrastrutture spesso obsolete e la sua ricchezza di bersagli simbolici, rappresenta un obiettivo particolarmente attraente. Non si tratta più di fantascienza o di scenari teorici discussi nelle conferenze sulla sicurezza: è la realtà con cui dobbiamo fare i conti oggi.
Cosa resta da fare: la difesa digitale delle infrastrutture critiche
L'attacco al sistema di pompe di piazza San Marco deve servire da campanello d'allarme definitivo. L'Italia ha bisogno di un salto di qualità nella protezione cyber delle proprie infrastrutture critiche, e lo deve compiere rapidamente. L'Agenzia per la Cybersicurezza Nazionale (ACN), istituita nel 2021, ha iniziato un lavoro importante di coordinamento, ma le risorse destinate alla sicurezza informatica restano insufficienti rispetto alla portata della minaccia. Servono investimenti massicci nell'aggiornamento dei sistemi SCADA che governano acquedotti, reti elettriche, dighe e impianti di protezione idraulica. Serve l'implementazione obbligatoria di protocolli di autenticazione multifattore per tutti gli accessi amministrativi. Serve una segmentazione rigorosa delle reti, che impedisca a un attaccante di passare dalla posta elettronica di un impiegato al pannello di controllo di un'infrastruttura fisica. Ma soprattutto serve un cambiamento culturale. La cybersicurezza non può continuare a essere percepita come un costo accessorio o un problema esclusivamente tecnico: è una questione di sicurezza nazionale. Il caso Venezia lo dimostra con una chiarezza brutale. Un sistema di pompe compromesso può significare una piazza allagata, un patrimonio UNESCO danneggiato, un'economia turistica in ginocchio. La prossima volta, il bersaglio potrebbe essere un ospedale, una centrale elettrica, una diga. Il tempo delle sottovalutazioni è finito.