Il 7 aprile 2026 un piccolo coro istituzionale statunitense che comprende tutte le principali agenzie come FBI, CISA, NSA, Environmental Protection Agency, Department of Energy e U.S. Cyber Command Cyber National Mission Force ha diffuso congiuntamente un comunicato, avvertendo che attori cyber affiliati all’Iran stavano prendendo di mira PLC esposti su Internet all’interno di infrastrutture critiche statunitensi. La parte più insidiosa di questa notizia è che, a prima vista, può sembrare l’ennesimo episodio da lessico cyber: APT, PLC, HMI, SCADA, porte, firmware, indicatori di compromissione. Tutto materiale che per il lettore comune rischia di suonare come una messa in latino liturgico. In realtà qui il punto è molto più semplice e molto più serio: non stanno cercando di rubare il faldone digitale dall’armadio dell’ufficio, stanno infilando le mani nel quadro elettrico della realtà.
Sono almeno dieci anni che racconto come le tecnologie digitali non sono confinate “dentro” lo schermo. Un PLC, simpatico oggettino che decide come deve funzionare una macchina industriale grande a piacere, non è quindi un documento Word con manie di protagonismo, ma un pezzo di logica che governa qualcosa di fisico. Quando viene raggiunto e manipolato o usato per alterare ciò che un operatore vede non siamo più nel territorio del semplice furto di informazioni, ma in quello, assai più scomodo, del disturbo del mondo. Proprio questo rende inquietante la formula delle agenzie americane sui “disruptive effects”. Non serve immaginare scenari apocalittici per capire il problema. Anzi, spesso l’errore è proprio quello: si fantastica sulla catastrofe.
La verità, di solito è che basta poco per produrre danno: fermare un processo, confondere un operatore, falsare una rappresentazione, costringere a spegnere per prudenza, generare costi, ritardi, sfiducia. Non occorre far saltare una diga per dimostrare che il confine tra cyber e fisico è diventato sottile come carta velina. Poi c’è l’aspetto quasi offensivo nella sua banalità: molti di questi sistemi erano esposti su Internet. Ogni volta che accade una cosa del genere si è tentati di cercare la spiegazione esotica, la tecnica segreta, il colpo di genio dell’attaccante. Invece, troppo spesso, si tratta solo di porte socchiuse. Questa è la parte meno cinematografica e più umiliante dell’intera storia.
Ci ostiniamo a parlare di minacce sofisticate, di guerra ibrida, di tensioni geopolitiche, e poi scopriamo che una quota del problema nasce da architetture povere, troppo deboli, poco manutenute con accessi remoti lasciati lì perché qualcuno si accomodi. Quando si parla di migliaia di host raggiungibili significa migliaia di occasioni e se si tratta di sistemi che controllano acqua, energia o servizi essenziali, allora la negligenza smette di essere soltanto un difetto tecnico e diventa un problema di governo. Il passaggio più importante, però, è strategico.
Colpire questi bersagli consente di ottenere molto con relativamente poco. Un attacco per avere successo non deve necessariamente puntare al collasso, perché l’inquietudine può bastare. Lasciare intendere che l’acqua, l’energia, i servizi locali, cioè le cose che una società considera scontate, tali potrebbero non essere, allora dovrebbe accadere qualcosa nell’opinione pubblica, almeno una sensazione di disagio. Invece nulla. Questo è il punto più inquietante. Ormai quasi nulla ci turba davvero. Un dossier del genere dovrebbe produrre almeno un piccolo scarto emotivo, il disagio minimo che precede la consapevolezza; al contrario scivola addosso all’opinione pubblica come quella pioggerellina che si vede, ma non bagna.
Continuiamo a percepire il digitale come un altrove senza peso, anche quando mette le mani su acqua, energia, servizi, processi reali. Questo non è soltanto ignoranza tecnica, ma una forma di anestesia. Abbiamo perso la “paura utile”, quella che non genera panico ma attenzione, e così l’assenza di catastrofe ci sembra una prova di normalità che purtroppo non è tale. È solo il sintomo di una società che non riconosce più il rischio nemmeno quando si presenta all’ingresso di casa. Nel momento in cui il pericolo non inquieta più è perché lo abbiamo già trasformato in abitudine, in tal caso forse è già troppo tardi.