Quello che fino a dieci anni fa era un dibattito accademico, oggi è una realtà operativa che ogni professionista della sicurezza affronta quotidianamente. Cyber war e cyber crime non sono più due universi separati, ma due facce della stessa medaglia digitale. Come blogger informatico ed ethical hacker, analizzo log, traccio campagne APT e conduco penetration test da oltre un decennio: posso affermare con certezza che la distinzione tra attacco a scopo di lucro e operazione a motivazione geopolitica si è ridotta a un filo quasi invisibile. E quando il confine diventa così sottile, la difesa tradizionale entra in crisi.
Per comprendere la svolta, partiamo dalle definizioni. Il cyber crime nasce da una logica economica: ransomware, credential stuffing, frodi finanziarie, vendita di database rubati sul dark web. Gli attori sono gang organizzate, freelance o network decentralizzati (spesso strutturati come franchise RaaS). La cyber war, invece, è guidata da obiettivi strategici: raccolta di intelligence, sabotaggio di infrastrutture critiche, disinformazione, influenza su processi elettorali o militari. Gli attori sono apparati statali, intelligence agencies o proxy group finanziati e protetti da governi. Tecnicamente, un tempo si distingueva per livello di sofisticazione, persistenza e targeting. Oggi, questa separazione è in gran parte superata.
Il confine si è sgretolato per tre dinamiche convergenti. Primo: la standardizzazione degli strumenti. Framework come Cobalt Strike, tecniche di evasione EDR, exploit di supply chain e phishing iper-personalizzato sono diventati commodity, accessibili a criminali e attori statali allo stesso modo. Secondo: l’outsourcing operativo. Molti governi non conducono più attacchi direttamente, ma “terzializzano” operazioni sensibili a gruppi criminali, offrendo in cambio immunità diplomatica, accesso a zero-day non patchate o infrastrutture C2 condivise. Terzo: la monetizzazione della guerra. Campagne un tempo puramente strategiche oggi integrano componenti lucrative: data theft per rivendita, cryptomining clandestino, estorsione su enti pubblici. Il risultato è un modello ibrido dove l’obiettivo politico si autofinanzia con il profitto illecito.
L’avvento dell’IA generativa e degli agenti autonomi ha accelerato questa fusione. Tra il 2024 e il 2026, abbiamo visto malware polimorfico addestrato su dataset aziendali reali, deepfake vocali per bypassare autenticazioni MFA, e script di reconnaissance automatizzati che scalano infrastrutture in minuti. La differenza non sta più nella tecnologia, ma nell’intento e nel mandato operativo. E l’attribuzione? Oggi è un puzzle di indicatori comportamentali, orari di attività, linguaggi nei commenti del codice, e correlazione con eventi geopolitici. Non basta più dire “è un APT russo” o “è una gang asiatica”. La domanda corretta è: “Chi finanzia, chi beneficia, e chi copre le tracce?”
Dal mio punto di vista di ethical hacker, questo scenario impone un cambio di paradigma difensivo. Non esiste più un playbook separato per “crimine” e “guerra”. La threat intelligence deve unire telemetria di endpoint, analisi di rete, OSINT e cooperazione transnazionale. Strumenti come deception technology, honeypot attivi, platform di threat hunting continuo e framework di condivisione IOC in tempo reale sono diventati indispensabili. Inoltre, emerge un dilemma legale ed etico concreto: quando un’azienda subisce un attacco ibrido, deve collaborare con le forze dell’ordine, con le agenzie di cyber difesa nazionale o gestire la crisi in autonomia? La risposta risiede nella trasparenza controllata, nella resilienza architetturale (zero trust, segmentazione micro-perimetrale, backup immutabili) e nella formazione continua del personale.
Cyber war e cyber crime non torneranno mai più a binari paralleli. La cybersecurity del futuro non si costruirà con firewall più costosi o firme antivirus aggiornate, ma con intelligenza collaborativa, etica professionale e una cultura della sicurezza che parta dalla consapevolezza: ogni dispositivo connesso è un potenziale vettore, e ogni attacco è un messaggio politico o economico mascherato da codice. Restate curiosi, condividete indicatori, patchate con urgenza e non sottovalutate mai la complessità del nemico digitale. La battaglia non si vince isolandosi. Si vince connettendosi.