La cyber-guerra non ha bisogno di missili. Può entrare da un software vecchio, da una rete comunale non aggiornata, da un acquedotto senza tecnici sufficienti, da una centrale elettrica collegata a sistemi fragili. Non fa rumore, non mostra carri armati, non lascia subito macerie visibili. Ma può togliere acqua, luce, telefoni, servizi sanitari. E quando succede, a restare senza alternative sono prima di tutto i più poveri.
Per anni la guerra informatica è stata raccontata come una faccenda per specialisti: hacker, intelligence, server, codici, furti di dati. Un terreno invisibile in cui Stati, aziende e gruppi criminali si colpiscono senza che la vita quotidiana sembri davvero coinvolta.
Ma questa immagine è ormai vecchia. Gli attacchi informatici non riguardano più soltanto ministeri, eserciti, banche o multinazionali. Il bersaglio sono sempre più spesso le infrastrutture essenziali: reti elettriche, acquedotti, telecomunicazioni, ospedali, trasporti, amministrazioni locali.
Altro che astratta. La guerra digitale è estremamente materiale. Non perché un cittadino veda il virus entrare nel sistema, ma perché può non uscire più acqua dal rubinetto, può saltare la corrente, può bloccarsi il centralino di un pronto soccorso, può cadere la rete telefonica, può fermarsi un Comune.
Il punto non è solo militare. È sociale. Una società funziona perché milioni di persone danno per scontati alcuni servizi: bere, lavarsi, accendere una luce, chiamare un medico, pagare una bolletta, ricevere un certificato. La cyber-guerra prende di mira proprio questa normalità.
Negli Stati Uniti il tema è tornato al centro del dibattito per le intrusioni attribuite alla Cina. Secondo la ricostruzione del generale Timothy D. Haugh, già comandante dello US Cyber Command e direttore della National Security Agency, Pechino avrebbe condotto per anni operazioni contro reti di telecomunicazione, proprietà intellettuale e infrastrutture idriche ed elettriche americane.
Gruppi come Volt Typhoon avrebbero cercato di preinstallare malware in sistemi legati ai servizi pubblici locali, con la possibilità di interrompere forniture essenziali. Salt Typhoon avrebbe invece colpito reti di telecomunicazione, arrivando a intercettare conversazioni e comunicazioni di funzionari e utenti.
Letta così, sembra la solita partita tra superpotenze. Da una parte Washington, dall’altra Pechino. Da una parte il comando cyber americano, dall’altra gli apparati cinesi. Ma fermarsi qui significa guardare la parte alta del problema e ignorare quella bassa, dove vivono le persone. La domanda decisiva non è soltanto chi attacca. È chi viene lasciato scoperto quando l’attacco arriva.
Perché un grande gruppo tecnologico può permettersi squadre di sicurezza informatica, monitoraggio continuo, backup, sistemi di risposta, consulenti, assicurazioni, piani di emergenza. Un piccolo Comune no. Un acquedotto locale spesso no. Un ospedale di provincia, già strangolato da personale insufficiente e tagli, difficilmente può competere con la capacità tecnica di un attore statale o di una grande organizzazione criminale.
La vulnerabilità informatica, quindi, non è solo una questione tecnica. È anche il prodotto di anni di sottofinanziamento, esternalizzazioni, manutenzione rimandata, personale ridotto, servizi pubblici trattati come costi da comprimere.
Questo è il punto che il linguaggio della sicurezza nazionale tende a nascondere. Si parla di “infrastrutture critiche”, ma dietro quella formula ci sono beni elementari. L’acqua non è una infrastruttura critica per definizione burocratica: è ciò che consente a una famiglia di vivere.
La corrente elettrica non è solo una rete strategica: è il frigorifero acceso, il riscaldamento, un ascensore per chi non può fare le scale, un macchinario sanitario, una pompa dell’acqua, una connessione per lavorare o studiare. Quando questi servizi vengono colpiti, non tutti subiscono allo stesso modo.
Chi ha soldi può comprare soluzioni alternative. Può spostarsi, pagare una struttura privata, avere una seconda casa, usare generatori, dati mobili, assicurazioni, assistenza tecnica. Chi vive già al margine non ha margine. Se un servizio pubblico si ferma, resta fermo con lui. Se un ospedale rallenta, aspetta.
Se un Comune non rilascia documenti, perde giornate di lavoro. Se manca la corrente, non può trasferire la vita altrove. La guerra informatica, come ogni crisi, distribuisce il danno secondo la classe sociale.
C’è poi un altro nodo: la difesa di queste reti è sempre più nelle mani delle grandi aziende private. Google, Microsoft, Amazon, i grandi operatori cloud, le società di cybersicurezza, i fornitori di telecomunicazioni vedono una quantità enorme di traffico, dispositivi, anomalie, attacchi.
In molti casi hanno più capacità di osservazione e intervento degli Stati. Haugh cita il caso di Google, che avrebbe fermato una campagna di spionaggio cinese neutralizzando l’uso delle proprie piattaforme da parte degli aggressori. È un esempio efficace. Ma apre anche una domanda politica enorme: se la sicurezza dei servizi essenziali dipende da colossi privati, chi decide davvero come viene difesa la vita pubblica?
Non si tratta di negare il ruolo tecnico delle aziende. Senza di loro, una parte della difesa sarebbe impossibile. Ma una democrazia non può limitarsi a sperare che le piattaforme facciano la cosa giusta. La protezione dell’acqua, della luce, degli ospedali, dei telefoni e delle amministrazioni non può essere affidata alla buona volontà o alla convenienza reputazionale delle multinazionali tecnologiche.
Serve responsabilità pubblica, finanziamento pubblico, competenza pubblica. E serve soprattutto riconoscere che la sicurezza informatica dei servizi locali è una forma di welfare.
Oggi, invece, il rischio è opposto: militarizzare il problema senza socializzarne la protezione. Gli Stati aumentano i bilanci della difesa cyber, rafforzano i comandi militari, parlano di deterrenza, sanzioni, intelligence, risposta agli attacchi. Tutto necessario, forse.
Ma se nel frattempo il piccolo Comune continua ad avere software obsoleti, se l’azienda idrica non ha personale specializzato, se l’ospedale rimanda gli aggiornamenti perché non ci sono fondi, la catena resta rotta nel punto più debole. E il punto più debole è quasi sempre vicino ai cittadini.
La cyber-guerra mostra così una verità semplice: la sicurezza non è solo proteggere i confini. È proteggere le condizioni materiali della vita. Non basta difendere i server del Pentagono se poi una rete idrica locale può essere compromessa.
Non basta parlare di sovranità digitale se gli enti pubblici devono comprare al ribasso servizi informatici che non riescono a controllare. Non basta invocare l’intelligenza artificiale se mancano tecnici, manutenzione, formazione, procedure elementari.
La guerra digitale viene raccontata come invisibile, ma i suoi effetti sono concretissimi. E proprio perché è invisibile rischia di avanzare senza discussione pubblica. Si scopre che un acquedotto è vulnerabile solo quando viene attaccato. Si scopre che un ospedale non ha difese sufficienti quando il sistema si blocca. Si scopre che una rete comunale era fragile quando i cittadini non riescono più ad accedere ai servizi.
La prevenzione, invece, non fa notizia. Costa, richiede personale, programmazione, investimenti. È il contrario dell’emergenza permanente.
Per questo la cyber-sicurezza non può restare materia per generali, ingegneri e consigli di amministrazione. Riguarda chi prende l’autobus, chi vive in una casa popolare, chi dipende da un ambulatorio pubblico, chi non può permettersi un’alternativa privata, chi ha bisogno che il Comune funzioni, che il telefono prenda, che l’acqua arrivi, che la luce resti accesa. Riguarda i poveri, anche se nessuno li nomina nei documenti strategici.
La cyber-guerra passa dall’acqua e dalla luce perché il potere, oggi, passa anche da lì. Non solo dai carri armati, dalle basi militari o dai satelliti. Passa dai cavi, dalle centrali, dai server, dai sistemi di controllo, dai fornitori privati, dai bilanci pubblici svuotati, dai territori lasciati senza competenze. Chi avrà diritto a essere protetto quando diventeranno il campo di battaglia?
Se la risposta sarà affidata solo al mercato e agli apparati militari, i più forti si difenderanno e gli altri aspetteranno il guasto. Se invece acqua, energia, comunicazioni e sanità verranno trattate come beni comuni anche sul piano digitale, allora la sicurezza informatica diventerà ciò che dovrebbe essere: non un lusso tecnologico, ma una protezione collettiva. Perché nella guerra invisibile, come in tutte le guerre, i primi a pagare sono quelli che non hanno vie di fuga.
