In un contesto internazionale segnato da crescente instabilità, la disinformazione non può più essere considerata un fenomeno separato. Cybersecurity e information warfare oggi si intrecciano fino a diventare parti di un’unica minaccia ibrida: abbiamo affrontato il tema con Mattia Caniglia, Senior Intelligence and Policy Analyst del Global Disinformation Indexe Affiliate Lecturer all’Università di Glasgow, che su queste problematiche interverrà il 26 marzo 2026 nel corso del CISO Leaders Summit di TIG a Baveno.
Ecosistemi di disinformazione e minacce ibride
«Oggi si tende a sottostimare il fenomeno della disinformazione, soprattutto nel nostro Paese» ha osservato Mattia Caniglia. «Inoltre, le operazioni informative, così come i cyber attacchi, i sabotaggi o l’uso malevolo di droni sono considerate attività diverse. Invece, per chi conduce queste operazioni, attori statali o privati che siano, sono strumenti intercambiabili che fanno parte di un’unica strategia».
Nel contesto geopolitico attuale – che Caniglia definisce di “distordine” e “multiplex”, con centri di potere multipli e logiche molto diverse dal passato – le minacce ibride, combinando azioni cyber, manipolazione informativa, pressione economica, sabotaggio e attacchi a infrastrutture critiche, perseguono effetti politici ed economici tramite tattiche “sotto soglia”, caratterizzati dalla mancanza di attribuzione di chi sta dietro, per evitare di arrivare al conflitto aperto.
“In questo quadro la disinformazione non è improvvisata ma si basa su un ecosistema disinformativo – aggiunge Caniglia – con una filiera e i suoi incentivi; una produzione di contenuti anche sintetici; una distribuzione tramite reti di canali, con community e siti satellite; un’amplificazione tramite coordinamento e automazione; una monetizzazione attraverso advertisement e fundraising. In sostanza, sempre più, un vero e proprio mercato di servizi di disinformazione”.
Quindi se un attacco cyber punta a compromettere i sistemi e la disinformazione punta a minare la fiducia, la combinazione di questi due punta a generare impatti ancora più ampi, allargando il perimetro di attacco e quindi richiedendo una revisione del perimetro di difesa.
«Cyber e disinformazione sono due facce della stessa medaglia» sottolinea Caniglia. Un attacco ransomware, ad esempio, non si limita alla cifratura dei dati: può includere pressioni pubbliche, leak selettivi, intimidazioni reputazionali. Allo stesso modo, la compromissione di un canale trusted di comunicazione aziendale (come può essere l’account social dell’azienda) può trasformarsi in uno strumento per diffondere messaggi manipolati, generando panico e volatilità sui mercati in poco tempo.
Le aziende come bersaglio
C’è la percezione che la disinformazione prenda di mira solo gli individui o gli apparati statali, in realtà anche le imprese possono essere un bersaglio, per molte ragioni: estorsione, concorrenza sleale, manipolazione dei mercati, coercizione reputazionale. Caniglia cita casi di deepfake utilizzati per frodi multimilionarie, in cui la manipolazione non colpisce i sistemi ma i processi. Oppure scenari di “hack and leak”, in cui i dati sottratti sono diffusi in modo selettivo o manipolato per costruire una narrativa coercitiva. In altri casi, durante una crisi reale, lo spazio informativo è saturato con comunicati falsi e account fake, aumentando i costi di gestione dell’incidente e allungando i tempi di recovery. «Un’azienda non preparata può subire danni rilevanti e vedere allungati i suoi tempi di ripresa» dice Caniglia.
Può anche avvenire che un’azienda sia in grado di gestire tecnicamente un attacco cyber in modo efficace, ma subisca comunque danni reputazionali se una campagna informativa parallela diffonde una narrativa di una gestione disastrosa. La combinazione tra cyber e disinformazione amplia il perimetro di attacco – e di conseguenza richiede di ampliare quello della difesa.
Un fenomeno globale in cui l’AI amplifica gli effetti
Come il cybercrime, anche la disinformazione è un fenomeno globale. «Non ha confini», spiega Caniglia. «Proteggersi solo entro il perimetro nazionale non basta». Le tattiche si diffondono, si adattano, si contaminano tra contesti geografici diversi.
In questo scenario si inserisce oggi l’intelligenza artificiale generativa, che consente di targettizzare contenuti verso audience specifiche, abbassando le barriere di ingresso e moltiplicando i volumi. Anche senza una conoscenza diretta del contesto culturale, gli attori malevoli possono personalizzare messaggi per mercati o Paesi diversi.
«Stiamo assistendo a un’industrializzazione della disinformazione» afferma Caniglia. L’AI da un lato è lo strumento per produrre e distribuire campagne disinformative su scala industriale, dall’altro lato è essa stessa un bersaglio, ad esempio sta subendo tentativi di “avvelenamento” dei dati che alimentano i modelli generativi.
Dall’awareness all’information integrity
Secondo Caniglia, il principale problema rimane culturale: la disinformazione è spesso percepita come una minaccia alla stabilità democratica, collegata a contesti di conflitto aperto. In realtà bisogna considerare che può incidere sulla vita quotidiana delle organizzazioni. Servirebbe awareness, ma non solo: quello che occorre è un vero framework di information integrity, che integri la mitigazione della minaccia proveniente dalla manipolazione informativa nel perimetro della sicurezza aziendale.
Operativamente, questo significa superare i silos interni: Security Operations Center e CSIRT devono lavorare insieme a Comunicazione, Legal, Risk, HR e Finance. Le minacce sono trasversali, e trasversale deve essere la risposta.
È fondamentale proteggere i canali di fiducia – account social, domini, newsroom, identità executive – e i processi che muovono valore, come pagamenti e procurement. Servono esercitazioni che combinino incidente cyber e crisi informativa. E va rafforzata la cooperazione business-to-business e pubblico-privato, perché la condivisione di best practice e l’attribuzione chiara delle responsabilità facilitano la risposta. «Non dobbiamo arrivare al momento Titanic per cambiare rotta», conclude Caniglia. «La disinformazione è ormai parte integrante del perimetro cyber, ma entrambe vanno comprese nel quadro più ampio delle minacce ibride, dove domini diversi si intrecciano e si rafforzano reciprocamente per sfruttare le vulnerabilità di attori pubblici e privati. Prima lo riconosciamo, prima possiamo costruire difese adeguate».
A cura di: Elena Vaciago, Research Manager, TIG – The Innovation Group
Mattia Caniglia parteciperà come Keynote Speaker al CISO LEADERS SUMMIT del 26 e 27 marzo 2026 a Baveno, con un intervento su QUANDO DISINFORMAZIONE E CYBERSECURITY SI INCONTRANO: LE NUOVE MINACCE IBRIDE.
Per partecipare al Summit, informazioni sul sito dell’evento: https://www.theinnovationgroup.it/events/ciso-summit-2026/?type=0.
