Negli ultimi mesi, l’Italia è stata teatro di una serie di attacchi DDoS (Distributed Denial of Service) orchestrati dal gruppo di hacker attivisti russi NoName057, noto per la sua fedeltà ideologica al Cremlino e per le sue azioni contro i Paesi occidentali che sostengono l’Ucraina. Le offensive, peraltro iniziate nel 2022 ma intensificatesi in modo significativo nei primi mesi del 2025, hanno preso di mira infrastrutture critiche, grandi aziende e enti pubblici italiani, tra cui i siti web del Ministero degli Esteri, gli aeroporti di Milano Linate e Malpensa, banche come Intesa Sanpaolo e Monte dei Paschi di Siena, e persino portali di trasporto pubblico come ATAC a Roma e AMT a Genova.
Secondo l’Agenzia per la Cybersicurezza Nazionale (ACN), solo nel 2023 gli attacchi DDoS rivendicati da gruppi filo-russi, tra cui NoName057, sono stati 248 su un totale di 319 rilevati, con un incremento del 625% rispetto all’anno precedente.
NoName057: motivazioni e obiettivi
NoName057, attivo dal marzo 2022, si distingue per il suo approccio di hacktivismo politically motivated, utilizzando attacchi DDoS per sovraccaricare i server con richieste fasulle e rendere inaccessibili i siti target. Le motivazioni del gruppo sono spesso legate a rappresaglie contro dichiarazioni o azioni percepite come anti-russe. L’ultima ondata di attacchi, ad esempio, quella del febbraio 2025 per intenderci, è stata una risposta diretta alle parole del Presidente Sergio Mattarella, che ha paragonato le azioni della Russia in Ucraina a quelle del Terzo Reich, scatenando la reazione del gruppo su Telegram: “Per tali paragoni, l’Italia riceve i nostri missili DDoS”. Tra i bersagli più recenti figurano anche enti della pubblica amministrazione locale, come la Regione Abruzzo, e infrastrutture di trasporto e finanza, con l’obiettivo di destabilizzare la sicurezza nazionale e seminare caos digitale.
Gli attacchi, pur causando disagi temporanei – come l’inaccessibilità dei siti web per alcune ore – non hanno compromesso sistemi operativi critici, grazie all’intervento tempestivo dell’ACN e del suo Computer Security Incident Response Team (CSIRT). Tuttavia, l’impatto economico e reputazionale per le aziende colpite, come Intesa Sanpaolo e i porti di Taranto e Trieste, rimane significativo, con potenziali costi legati alla perdita di fiducia degli utenti e alla necessità di rafforzare le difese cyber.
Trump e la controversa posizione sugli hacker russi
In questo contesto si inserisce la posizione di Donald Trump, che, dopo il suo insediamento nel gennaio 2025, ha ripetutamente minimizzato la minaccia rappresentata dagli hacker russi, fino alla decisione di bloccare ulteriori azioni legali e sanzioni contro gruppi come NoName057, invertendo la linea dura adottata dalle precedenti amministrazioni USA (ne abbiamo parlato in questo articolo: Il Pentagono frena il Cyber Command sulla Russia: scelta rischiosa per gli USA?). La mossa ha suscitato critiche da parte di esperti di sicurezza e alleati NATO, che vedono in gruppi come NoName057 un’estensione della guerra ibrida condotta dalla Russia contro l’Occidente.
La scelta di Trump si basa sulla sua visione di distensione con Mosca, ma appare in contrasto con la realtà operativa: NoName057 continua a colpire con regolarità i Paesi NATO, inclusa l’Italia, sfruttando strumenti come il toolkit DDoSia e botnet come Bobik per amplificare l’efficacia dei propri attacchi. Secondo un rapporto di Radware del gennaio 2025, il gruppo ha eseguito 1.174 attacchi DDoS contro 32 Paesi occidentali nella prima metà del 2023, rappresentando il 31% delle campagne filo-russe globali. L’Italia, con il suo ruolo di sostenitore dell’Ucraina e membro chiave della NATO, rimane un bersaglio privilegiato.