La Francia attribuisce al 16esimo Centro del FSB una campagna di cyberespionaggio condotta tramite Turla e sostiene le nuove sanzioni UE contro nove individui e quattro entità. Per imprese e PA europee cresce quindi il peso di intelligence, proxy criminali e resilienza operativa.

LaFranciahaattribuitoformalmente alla Russia una serie di cyberattacchi condotti contro interessi strategici francesi attraverso Turla, il gruppo di intrusione associato al 16esimo Centro del Servizio federale di sicurezza russo, il FSB. La dichiarazione del ministero francese degli Esteri del 13 luglio 2026 indica in particolare l’unità 61240 come struttura incaricata del targeting della Francia e richiama compromissioni che riguardano ministeri, diplomazia, giustizia, difesa e ricerca sensibile.

Le nuove sanzioni e l’intervento congiunto tra UE e Regno Unito

L’Unione europea e il Regno Unito hanno annunciato misure restrittive contro nove individui e quattro entità dell’ecosistema cyber russo, mentre il Regno Unito ha varato un pacchetto parallelo contro 24 soggetti collegati a intelligence, cybercrime, proxy e operazioni ibride.

Il governo britannico ha affermato che le sanzioni – il primo pacchetto congiunto con l’UE in materia di sicurezza informatica – “mirano ai tentativi persistenti e sempre più sconsiderati dello Stato russo di seminare caos e divisione in tutta Europa”.

Tra le persone soggette al congelamento dei beni e al divieto di visto figurano funzionari dell’agenzia di intelligence militare russa GRU e presunti «criminali informatici» che collaborano con lo Stato russo.

Tentativi di attacco in Polonia

L’UE e il Regno Unito hanno anche affermato che un recente tentativo di attacco informatico contro infrastrutture critiche in Polonia, compresa la rete elettrica, è stato l’ultimo di una serie di azioni simili condotte dal Centro 16, il centro di spionaggio dell’FSB.

«Questo attacco sconsiderato è fallito, ma avrebbe potuto causare l’interruzione dell’elettricità a 500.000 cittadini nel pieno dell’inverno», ha dichiarato il Ministero degli Esteri britannico. «Si tratta di un altro esempio dei tentativi irresponsabili dello Stato russo di seminare il caos in tutta Europa».

Obiettivi mirati in Francia e Europa

Il ministro degli Esteri francese Jean-Noël Barrot ha dichiarato che gli attacchi hanno preso di mira ministeri governativi, aziende e operatori di servizi, con l’obiettivo «di acquisire informazioni o di sabotare le operazioni, ad esempio le infrastrutture ferroviarie, come è avvenuto in Polonia».

Il ministero degli Esteri francese ha aggiunto che tra gli obiettivi sanzionati figurava «un gruppo che ha rivendicato azioni destabilizzanti contro le Olimpiadi di Parigi 2024».

La campagna di attacchi negli anni

L’UE ha affermato che “tra gli altri, Francia, Germania, Polonia, Cipro, Paesi Bassi, Austria, Slovacchia, Romania e Finlandia sono stati presi di mira” in una campagna che risale a diversi anni fa. Il Centro 16 dell’FSB è già stato accusato in passato dalle agenzie di intelligence occidentali di utilizzare da decenni malware per cercare di ottenere l’accesso e spiare paesi in tutto il mondo.

Storia delle attività mirate in Francia

Adesso la minaccia è più chiara. Da parte della Russia non c’è solo spionaggio di Stato, ma una combinazione di intelligence, sabotaggio, infrastrutture criminali, furto di credenziali e gruppi di facciata.

La dichiarazione francese ricostruisce una linea di attività lunga. Secondo Parigi, il FSB ha preso di mira account di posta del ministero delle Forze armate dal 2017, la rete del ministero degli Esteri presso l’ambasciata francese a Mosca nel 2018 e, nel 2019, un server appartenente a un’entità del settore giudiziario. Nel febbraio 2025, un istituto di ricerca specializzato in tecnologie sensibili e attivo per l’industria della difesa francese sarebbe stato colpito con esfiltrazione di un volume significativo di dati.

Dettagli pubblici da CERT-FR

La nota ANSSI/C4 CERTFR-2026-CTI-004, pubblicata il 13 luglio 2026 dal CERT-FR, amplia il quadro: il Centro di coordinamento delle crisi cyber francese afferma di aver osservato dal 2010 il targeting e la compromissione di entità francesi attraverso Turla. La vittimologia include settori diplomatici, difesa, giustizia, tecnologie e vittime intermedie usate come relay nelle infrastrutture malevole del gruppo.

Il dettaglio delle vittime intermedie è rilevante per le aziende potenziali vittime.

La strategia di compromissione terzi

L’attaccante non cerca solo l’obiettivo finale: compromette sistemi terzi per costruire infrastrutture di appoggio, rendere più difficile l’attribuzione e preparare nuove operazioni. È una dinamica che rende insufficienti controlli limitati al perimetro aziendale e spinge verso monitoraggio delle dipendenze, segmentazione, logging persistente e threat hunting orientato agli scenari di lungo periodo.

Il Consiglio UE, nella dichiarazione dell’Alto rappresentante del 13 luglio 2026, attribuisce al 16esimo Centro del FSB attività che includono infiltrazione di reti governative e sabotaggio di infrastrutture critiche. Tra i Paesi indicati come bersaglio figurano Francia, Germania, Polonia, Cipro, Paesi Bassi, Austria, Slovacchia, Romania e Finlandia.

Il caso della rete energetica polacca

La Polonia è il caso più delicato perché sposta la lettura dal furto informativo alla continuità dei servizi. Londra afferma che un attacco contro la rete energetica polacca attribuito al Centro 16 del FSB avrebbe potuto lasciare senza elettricità 500mila cittadini durante l’inverno. Anche quando l’operazione fallisce, la sua logica è chiara: testare accessi, procedure e impatti su settori essenziali.

Convergenza tra spionaggio e sabotaggio

Il punto per le organizzazioni europee è che spionaggio e sabotaggio possono condividere accessi, infrastrutture e fasi preparatorie. Una campagna nata per raccogliere intelligence può lasciare persistenze sfruttabili in seguito per disservizi, cancellazione di dati o pressione geopolitica. La risposta difensiva deve quindi trattare credenziali, sistemi esposti, ambienti OT e fornitori come parti dello stesso rischio, non come domini separati.

Leggi l'articolo originale →