Conflitti sottosoglia: la convergenza tra cybersecurity e information warfare
A colazione con
In un contesto internazionale segnato da crescente instabilità, la disinformazione non può più essere considerata un fenomeno separato dalla cybersicurezza. Le due dimensioni, oggi, si intrecciano fino a diventare parti di un’unica minaccia ibrida: abbiamo affrontato il tema con Mattia Caniglia, Senior Intelligence and Policy Analyst del Global Disinformation Indexe Affiliate Lecturer all’Università di Glasgow, che su queste problematiche interverrà il prossimo 26 marzo nel corso del CISO Leaders Summit di TIG a Baveno.
Ecosistemi di disinformazione e minacce ibride
«Oggi si tende a sottostimare il fenomeno della disinformazione, soprattutto nel nostro Paese» ha osservato Mattia Caniglia. «Inoltre, le operazioni informative, così come i cyber attacchi, i sabotaggi o l’uso malevolo di droni sono considerate attività diverse. Invece, per chi conduce queste operazioni, attori statali o privati che siano, sono strumenti intercambiabili che fanno parte di un’unica strategia».
Nel contesto geopolitico attuale – che Caniglia definisce di “distordine” e “multiplex”, con centri di potere multipli e logiche molto diverse dal passato – le minacce ibride, combinando azioni cyber, manipolazione informativa, pressione economica, sabotaggio e attacchi a infrastrutture critiche, perseguono effetti politici ed economici tramite tattiche “sotto soglia”, caratterizzati dalla mancanza di attribuzione di chi sta dietro, per evitare di arrivare al conflitto aperto.
“In questo quadro la disinformazione non è improvvisata ma si basa su un ecosistema disinformativo – aggiunge Caniglia – con una filiera e i suoi incentivi; una produzione di contenuti anche sintetici; una distribuzione tramite reti di canali, con community e siti satellite; un’amplificazione tramite coordinamento e automazione; una monetizzazione attraverso advertisement e fundraising. In sostanza, sempre più, un vero e proprio mercato di servizi di disinformazione”.
Quindi se un attacco cyber punta a compromettere i sistemi e la disinformazione punta a minare la fiducia, la combinazione di questi due punta a generare impatti ancora più ampi, allargando il perimetro di attacco e quindi richiedendo una revisione del perimetro di difesa.
«Cyber e disinformazione sono due facce della stessa medaglia» sottolinea Caniglia. Un attacco ransomware, ad esempio, non si limita alla cifratura dei dati: può includere pressioni pubbliche, leak selettivi, intimidazioni reputazionali. Allo stesso modo, la compromissione di un canale trusted di comunicazione aziendale (come può essere l’account social dell’azienda) può trasformarsi in uno strumento per diffondere messaggi manipolati, generando panico e volatilità sui mercati in poco tempo.
Le aziende come bersaglio
C’è la percezione che la disinformazione prenda di mira solo gli individui o gli apparati statali, in realtà anche le imprese possono essere un bersaglio, per molte ragioni: estorsione, concorrenza sleale, manipolazione dei mercati, coercizione reputazionale. Caniglia cita casi di deepfake utilizzati per frodi multimilionarie, in cui la manipolazione non colpisce i sistemi ma i processi. Oppure scenari di “hack and leak”, in cui i dati sottratti sono diffusi in modo selettivo o manipolato per costruire una narrativa coercitiva. In altri casi, durante una crisi reale, lo spazio informativo è saturato con comunicati falsi e account fake, aumentando i costi di gestione dell’incidente e allungando i tempi di recovery. «Un’azienda non preparata può subire danni rilevanti e vedere allungati i suoi tempi di ripresa» dice Caniglia.
Può anche avvenire che un’azienda sia in grado di gestire tecnicamente un attacco cyber in modo efficace, ma subisca comunque danni reputazionali se una campagna informativa parallela diffonde una narrativa di una gestione disastrosa. La combinazione tra cyber e disinformazione amplia il perimetro di attacco – e di conseguenza richiede di ampliare quello della difesa.
Un fenomeno globale in cui l’AI amplifica gli effetti
Come il cybercrime, anche la disinformazione è un fenomeno globale. «Non ha confini», spiega Caniglia. «Proteggersi solo entro il perimetro nazionale non basta». Le tattiche si diffondono, si adattano, si contaminano tra contesti geografici diversi.
In questo scenario si inserisce oggi l’intelligenza artificiale generativa, che consente di targettizzare contenuti verso audience specifiche, abbassando le barriere di ingresso e moltiplicando i volumi. Anche senza una conoscenza diretta del contesto culturale, gli attori malevoli possono personalizzare messaggi per mercati o Paesi diversi.
«Stiamo assistendo a un’industrializzazione della disinformazione» afferma Caniglia. L’AI da un lato è lo strumento per produrre e distribuire campagne disinformative su scala industriale, dall’altro lato è essa stessa un bersaglio, ad esempio sta subendo tentativi di “avvelenamento” dei dati che alimentano i modelli generativi.
Leggi l’intervista completa “Conflitti sottosoglia: la convergenza tra cybersecurity e information warfare” sul canale cybersecurity di TIG: https://channels.theinnovationgroup.it/cybersecurity/convergenza-cybersecurity-information-warfare/
Elena Vaciago
Research manager, TIG – The Innovation Group
