Claudio Verzola

di Claudio Verzola

La guerra in Ucraina ha ridefinito l’architettura della guerra moderna, dal ritorno alle trincee alla comparsa dei droni  il conflitto è divenuto un laboratorio anche per l’impiego massiccio di forze irregolari.

La Russia ha trasformato il suo militare in una macchina da guerra ibrida, con unità irregolari istituzionalizzate sotto controllo statale e schierate su larga scala, rappresentando fino al 40% delle truppe russe comandate ora schierate contro l’Ucraina.

In Ucraina dopo la rivoluzione di Euromaidan del 2013-2014 e l’inizio dell’intervento russo nell’Ucraina orientale, il governo ucraino si trovò di fronte a una situazione critica: le forze armate regolari erano mal preparate, mal equipaggiate e carenti di morale e spirito combattivo. In risposta a questa crisi, dalla primavera del 2014 in poi emersero oltre 79 battaglioni volontari semi-autonomi, finanziati privatamente e operanti inizialmente al di fuori del controllo governativo diretto.

Battaglioni volontari principali (Ucraina)

Nome	Fondazione	Fondatore/Comandante	Personale (Picco)	Affiliazione Politica	Status Attuale	Finanziamento Iniziale
Azov Battalion/Regiment	maggio 2014	Andriy Biletsky	900-2.500	Patriot of Ukraine, SNA (neo-nazista)	12ª Brigata Forze Speciali Guardia Nazionale	Serhiy Taruta (oligarca)
Aidar Battalion	maggio 2014	Serhiy Melnychuk	~400	Misto (primi volontari Euromaidan)	24° Battaglione d’Assalto Forze Armate	Ihor Kolomoisky (oligarca)
Right Sector (DUK)	luglio 2014	Dmytro Yarosh	2.000-5.000	Right Sector (ultranazionalista)	67ª Brigata Meccanizzata (sciolta apr 2024)	Autofinanziamento, donazioni
Dnipro-1	aprile 2014	Yuriy Bereza	~500	Pro-governativo	Polizia/Guardia Nazionale	Ihor Kolomoisky
Dnipro-2	2014	–	~300-400	Right Sector (inizialmente)	Integrato in strutture regolari	Kolomoisky
Donbas Battalion	2014	Semen Semenchenko	800+	Nazionalista-patriottico	Guardia Nazionale	Kolomoisky
Kryvbas Battalion	2014	–	~500	Regionale (Kryvyi Rih)	40° Battaglione Difesa Territoriale	Privato/regionale
Sich Battalion	2014	Oleksandr Pysarenko	~500	Svoboda (nazionalista)	Integrato nelle Forze Armate	Partito Svoboda
OUN (Organizzazione Nazionalisti Ucraini)	2014	Andriy Pastusheno	~300-500	OUN storica	Sottounità 93ª Brigata Meccanizzata	Autofinanziamento

PMC e formazioni irregolari Russe

Nome	Status/Affiliazione	Personale	Aree Operative	Caratteristiche Distintive	Note/Status Attuale
Wagner Group (PMC Wagner)	Ex-PMC privata → Frammentata post-2023	~50.000 (picco 2023)	Ucraina, Siria, Africa, Donbas (2014-2023)	Prima grande PMC russa, veterani spetsnaz e GRU	Frammentata dopo ribellione Prigozhin (giugno 2023)
Redut	Controllata da GRU/Intelligence militare	25.000+ in 27 battaglioni	Ucraina, Africa, Medio Oriente	Successore principale di Wagner, network di 20+ formazioni	Principale PMC russa attiva post-Wagner
Patriot	PMC privata modellata su Blackwater	~500-1.000	Ucraina, Sudan, Gabon, CAR	Solo ex-militari giovani, paga $2.500/mese	Fondata da ex-Colonnello Generale Leonid Ivashov
Rusich (DSHRG)	Gruppo paramilitare neo-nazista autonomo	200-300	Ucraina, ex-Siria	Ideologia fascista, specializzata in sabotaggio	Opera indipendentemente, ex-legata a Wagner
Uran Battalion	PMC di Roscosmos (agenzia spaziale)	~300-500	Non dispiegato in combattimento	Owned da agenzia spaziale russa, bonus $1.200	Creata per attrarre ex-Wagner, non ancora combattuto
Storm-Z	Unità d’assalto penali del MoD	10.000-15.000	Fronte ucraino	Prigionieri e criminali, missioni suicide	Alto tasso mortalità, “carne da cannone”
Orthodox Brotherhood	PMC legata alla Chiesa Ortodossa	~500-1.000	Ucraina	Motivazione religiosa, “proteggere Russia cristiana”	Collegata alla Chiesa Ortodossa Russa
Konvoy	PMC di Crimea/Duplice status	300 combattenti	Crimea, Ucraina	Dual status: PMC + Combat Army Reserve	Led da ex-Wagner “Mazai” Pikalov, terra promessa
Ural PMC	PMC oligarca Igor Altushkin	~1.000	Fronte Kreminna	Volontari degli Urali, blocked da Wagner su reclutamento carceri	Fondata da oligarca russo Igor Altushkin
Arbat Battalion	Formazione DPR con ex-Wagner	~500-800	Avdiivka direction	Contiene distaccamento quasi interamente ex-Wagner	Founder Armen Sarkisian ucciso esplosione Mosca (feb 2025)

Battaglioni regionali e volontari (Russia)

Nome	Regione	Personale	Finanziamento	Ruolo	Note
Alga Battalion	Tatarstan	~1.000-2.000	Budget regionale + donazioni private	Fanteria d’assalto	Parte rete battaglioni etnici
Timer Battalion	Tatarstan	~800-1.500	Budget regionale	Supporto operazioni	Alto tasso casualità minoranze etniche
BARS-Kursk	Regione Kursk	~2.000-3.000	Combat Army Reserve + regionale	Difesa territoriale + spedizioni	Dual status: locale + expeditionary
BARS-Belgorod	Regione Belgorod	~2.000-3.000	Combat Army Reserve + regionale	Difesa territoriale + spedizioni	Framing come “unità difesa territoriale”
Battaglioni Ceceni	Cecenia (Kadyrov)	~19.000 totale	Ramzan Kadyrov/budget Ceceno	Operazioni speciali e propaganda	Lealtà personale a Kadyrov, non MoD

Sistema Dobrokor (volunteer corps)

Categoria	Descrizione	Bonus Contratto	Status Legale	Caratteristiche
Dobrokor Standard	Volontari civili 1 anno	$6.300-$20.400	Contractor MoD civile	Nessuna protezione militare standard
Combat Army Reserve	Sistema formale volontari	$10.000-$15.000	Semi-militare	Alcuni diritti militari, catena comando mista
Reclutamento Carcerario	Prigionieri volontari	$3.000-$8.000	Civile temporaneo	Promessa libertà, alto tasso mortalità
Mercenari Stranieri	1.500+ da 48 paesi	$2.000-$5.000	Varia per nazionalità	603 dal Nepal, centinaia da Asia Centrale

Il sistema Dobrokor: Istituzionalizzazione dell’Irregolarità

Gli sforzi per consolidare questa forza frammentata iniziarono nel 2023 quando Redut e l’Unione dei Volontari del Donbas si riunirono nella Mariupol occupata per creare il cosiddetto “Corpo Volontario Russo”, un quadro lasco collegato all’intelligence militare che unisce dozzine di formazioni irregolari.

Il sistema Dobrokor rappresenta una forma di contratto militare che offre incentivi economici significativi: I bonus di iscrizione per un contratto di un anno vanno da 6.300 a 20.400 dollari a seconda della regione, creando un mercato del lavoro militare parallelo che attinge da prigionieri, veterani, lavoratori migranti e minoranze etniche.

Questa strategia offre a Mosca diversi vantaggi tattici e politici:

Logoramento senza costi politici: L’esternalizzazione delle operazioni belliche alle formazioni irregolari consente a Mosca di condurre una guerra prolungata di logoramento isolandosi dal contraccolpo interno. Assegnate sproporzionatamente a settori di prima linea ad alta casualità e basso supporto, queste unità servono come fanteria sacrificabile.

Negabilità plausibile: Le formazioni irregolari operano in una zona grigia legale che permette operazioni non rivendicate e missioni politicamente sensibili senza coinvolgimento ufficiale delle forze regolari.

Flessibilità operativa: Questa forza eterogenea di paramilitari, mercenari, veterani e criminali è inadatta per guerre di manovra decisive o campagne sostenute senza il supporto delle forze regolari. Tuttavia, fornisce al Cremlino chiari vantaggi strategici e operativi.

L’Ucraina e il dilemma delle PMC

A differenza della Russia, l’Ucraina ha mantenuto un approccio più cauto verso le PMC. La legge ucraina non prevede la costituzione di compagnie militari private e in teoria vieta la creazione di formazioni paramilitari o armate. Tuttavia, diverse organizzazioni all’interno del paese affermano di essere PMC di fatto e hanno operato in una zona grigia legale.

I Tentativi di legalizzazione
Negli ultimi anni, tre progetti di legge sono stati mirati a legalizzare le società di consulenza militare e le aziende di difesa internazionale in Ucraina, con l’ultimo introdotto nell’aprile 2024. Questi sforzi legislativi riflettono la crescente consapevolezza che l’Ucraina potrebbe aver bisogno di strumenti simili per competere efficacemente.

La Presenza Straniera in Ucraina
Mentre l’Ucraina sviluppa le proprie capacità, ha fatto affidamento su contractor stranieri. Le stime suggeriscono che fino a 3.000 mercenari stanno combattendo per conto del governo ucraino. Di questi, almeno 300 sono dipendenti di PMC statunitensi, incluse aziende come Forward Observations Group (FOG) e DynCorp International.

Russia :truppe regolari vs mercenari, differenze tattiche e strategiche

Vantaggi delle forze irregolari

Flessibilità operativa: Se pensi a loro come contractor (anche se con le armi) allora il ragionamento per averli diventa più chiaro. Diciamo che eri un manager di un’attività ciclica. Non terresti il numero massimo di dipendenti sui tuoi libri tutto l’anno. Non avrebbe senso finanziario.

Efficienza dei costi: Secondo uno studio del Congressional Budget Office, il costo di mantenimento, in tempo di guerra, di un battaglione regolare si aggirerebbe ad un costo di quasi 110 milioni di dollari rispetto ad una unità contractor privata che andrebbe a pesare per un totale di 99 milioni.

Negabilità politica: John-Clark Levin, un esperto di sicurezza marittima privata, ha detto dell’uso di contractor privati:

‘I contractor di sicurezza privata permettono ai politici di spostare alcune delle loro attività militari fuori dai libri in termini di supervisione e responsabilità politica’.

Svantaggi critici

Erosione del professionalismo: Questo modello ibrido comporta seri rischi. Accelera l’erosione del professionalismo all’interno delle forze armate regolari russe, poiché la maggior parte dei volontari subisce addestramento abbreviato e bypassa il controllo medico e psicologico richiesto dalle reclute regolari.

Frammentazione del Comando: Inoltre, le formazioni irregolari operano sotto lealtà conflittuali. Alcune rispondono a ufficiali dell’intelligence militare, altre a potentati regionali come Ramzan Kadyrov o a sponsor privati. Le catene di comando sovrapposte alimentano attriti, diluiscono la disciplina e interrompono la logistica.

Limitazioni tattiche: PMC o mercenari degraderanno la strategia complessiva delle operazioni militari se non comunicano con l’esercito nella stessa AO. PMC contrattate da uno stato potrebbero aver bisogno di supporto nelle zone di conflitto, aumentando il peso sulle operazioni di combattimento per supportare i contractor.

PMC in Europa e in Italia

L’Europa presenta un panorama estremamente frammentato nel settore delle PMC, con approcci nazionali che variano drasticamente tra regolamentazione permissiva (Regno Unito), controllo ristretto (Germania), pragmatismo selettivo (Francia) e divieto sostanziale (Italia). Questa frammentazione crea distorsioni competitive e zone grigie legali che favoriscono operatori extra-UE.

Tabella delle principali PMC Europee

Regno Unito (UK)

Azienda	Fondazione	Personale	Fatturato Annuo	Servizi Principali	Aree Operative	Status Attuale
G4S plc	2004 (fusione)	620.000+	€12+ miliardi	Sicurezza armata, prigioni private, base militari	Globale (125+ paesi)	Maggiore PMC mondiale per fatturato
Aegis Defence Services	2002	~5.000-10.000	~€500 milioni	Protezione diplomatica, addestramento, intelligence	Iraq, Afghanistan, Africa, Medio Oriente	Controllata da GardaWorld (Canada) 2015
Control Risks Group	1975	~3.000	~€300 milioni	Risk management, intelligence commerciale, crisis response	Globale	Azienda specializzata in intelligence
Defence Systems Limited	1981	~1.000-2.000	~€100-200 milioni	Addestramento forze armate, consulenza militare	Africa, Medio Oriente	Acquisizioni multiple
Keeni-Meeny Services	1975	~500-1.000	Non disponibile	Servizi speciali governo, anti-terrorismo	Classificato	Strettissimi legami MI6/SAS

Francia

Azienda	Fondazione	Personale	Caratteristiche	Aree Focus	Status/Note
Secopex	2003	~200-500	Fondata da veterani forze speciali	Libia, Africa Occidentale	Presidente ucciso in Libia 2011
Amarante International	2008	~300-800	Certificazione ISO 18788, membro ICoCA	Iraq, Afghanistan, Africa	Una delle poche certificate UE
GEOS Group	2005	~400-600	Membro affiliato ICoCA	Medio Oriente, Africa	Sicurezza diplomatica
Groupe Corpguard	2006	~200-400	Certificazione ISO 18788, addestramento militare	Africa, addestramento estero	Fondata da ex-Secopex
Barril Group	1995	~100-200	Protezione personale VIP	Francia, internazionale	Fondata da ex-GIGN

Germania

Azienda	Fondazione	Personale	Controversie	Status	Note
Asgaard German Security Group	2007	~100-300	Affari Somalia 2010, dibattito Bundestag	Operativa ma controversa	Sede Hereford (UK), accademia Germania
Altri operatori	Vari	<100 ciascuno	Limitazioni legali severe	Frammentati	Mercato domestico ristretto

Altri paesi UE

Paese	Aziende Principali	Caratteristiche	Limitazioni
Paesi Bassi	Aziende logistiche/supporto	Focus trasporti, logistica militare	No combat operations
Belgio	Piccoli operatori regionali	Servizi di supporto	Mercato limitato
Spagna/Portogallo	Operatori locali Africa	Legami ex-colonie	Mercato di nicchia
Paesi Nordici	Quasi assenti	Filosofia neutralità/pace	Opposizione culturale PMC

Europa e Italia: È tempo di ripensare le PMC?

L’Europa si trova significativamente indietro nell’ecosistema delle PMC globali. Mentre l’UE non ha una definizione ufficiale singola delle compagnie di sicurezza private o dei loro servizi, due istituzioni chiave dell’UE hanno già pesato nel dibattito definitorio. Nel Concetto UE 2014 per il Supporto dei Contractor alle operazioni militari guidate dall’UE, il Consiglio dell’Unione Europea ha offerto due definizioni separate per PSC e PMC, sottolineando che “l’UE non impiegherà PMC in nessuna circostanza”.

L’Italia si trova in una situazione paradossale: mentre la legislazione nazionale vieta formalmente l’attività mercenaria e non riconosce le PMC, diverse realtà imprenditoriali italiane operano de facto nel settore della sicurezza militare privata, spesso attraverso strutture societarie complesse, partnership internazionali o operando all’estero sotto giurisdizioni più permissive, in un prossimo articolo faremmo un focus su queste realtà.

Esiste in Italia un vuoto legislativo, cosa inconcepibile in un sistema mondiale dove la privatizzazione della sicurezza è ormai qualcosa del tutto regolamentata e assodata. Ad oggi, sia la legge antipirateria in mare, sia quella che riguarda gli Istituti di Vigilanza, sono comunque così complesse che le nostre maggiori aziende multinazionali che operano fuori dai confini nazionali sono, spesso, costrette a ricorrere prevalentemente alle cosiddette PMC straniere.

Per il nostro Paese, il Documento di Montreux del 17 settembre 2008 segna uno spartiacque importante per tutta la componente di diritto internazionale legata alle PMSC. L’Italia l’ha firmato e si deve adeguare a quanto sottoscritto, ma la mancanza di una legislazione specifica continua a penalizzare le aziende italiane.

Ultime considerazioni sul nostro paese, l’Italia dovrebbe sviluppare una legislazione specifica che distingua chiaramente tra:

• Attività mercenarie illegali (combattimento diretto per profitto)
• Servizi di sicurezza privata legittimi (protezione, consulenza, addestramento)
• Support contractor (logistica, intelligence non operativa)

Occorrerebbe mettere mano alle proposte attualmente sul tavolo ed integrarle tenendo conto delle esigenze del sistema paese delle ambizioni geopolitiche, e delle realtà operative e dell’industria della sicurezza privata Italiana, ( ancora regolamentata da Regi Decreti ) … funestata da un alto tasso di abusivismo ed ambiguità normative che consentono a soggetti diversi di operare nei medesimi mercati, vedasi l’impiego di personale “volontario” all’interno della sicurezza disarmata.

Mettere mano alle norme in un paese poco incline a prevedere i futuri scenari ed inchiodato da sempre in una gestione emergenziale delle problematiche legate alla sicurezza, appare un’impresa ardua, quasi impossibile, ma in mancanza di progettualità si allargano sempre più le “aree grige”, si impedisce al mercato di crescere e si continuano a favorire le aziende straniere anche laddove, vedasi aziende di interesse strategico nazionale operanti all’estero, sarebbe più che opportuna la creazione di dispositivi di protezione nazionali capaci di salvaguardare non solo l’incolumità fisica ma anche le informazioni.

Il conflitto ucraino ha dimostrato che anche se la guerra in Ucraina finisse domani, queste strutture persisterebbero. Le formazioni irregolari sono ora integrate nel vasto sistema di servizi militari e di sicurezza della Russia. Questo nuovo paradigma bellico non è un fenomeno temporaneo, ma rappresenta una trasformazione strutturale della guerra moderna.

Per l’Italia e l’Europa, ignorare questa realtà significherebbe rimanere strategicamente vulnerabili in un mondo dove la guerra ibrida è diventata la norma. Non si tratta di “militarizzare” la società civile, ma di riconoscere che la sicurezza moderna richiede strumenti flessibili e capacità diversificate che vadano oltre le forze armate tradizionali.

La sfida non è se adottare strumenti simili alle PMC, ma come farlo mantenendo i valori democratici, la trasparenza e l’accountability che distinguono le democrazie occidentali dai regimi autoritari. La guerra in Ucraina ha mostrato che il futuro appartiene a chi saprà integrare efficacemente capacità statali e private in una strategia di sicurezza coerente e sostenibile.

L’Italia ha l’opportunità di posizionarsi come leader europeo in questo campo, sviluppando un modello che bilanci efficacia operativa e valori democratici. Il tempo per agire è ora, prima che il divario con i competitor strategici diventi incolmabile.

 

 

Fonte: https://www.difesaonline.it/2025/08/28/mercenari-e-pmc-nel-conflitto-ucraino/

di Claudio Verzola

In questa torrida estate del 2025 le problematiche legate al turismo non sono solo quelle dell’aumento delle tariffe (l’aumento dei costi si attesterebbe su un + 2,3% rispetto al 2024 che si aggiunge al +9% dell’aumento registrato tra il 2024 e il 2023) (Sole24Ore), ma anche quello legato alla Cyber Sicurezza che minaccia le fondamenta stesse del turismo nazionale. L’80% delle strutture ricettive italiane – prevalentemente PMI familiari – opera con vulnerabilità critiche mentre gli attacchi ransomware sono aumentati del 67% nel 2023, con costi medi per breach che raggiungono i 3,86 milioni di dollari. 

La combinazione di normative stringenti (GDPR e TULPS), investimenti inadeguati (solo il 3% del budget IT destinato alla sicurezza) e un mercato nero fiorente dove i passaporti italiani valgono fino a €4.000 SafetyDetectives crea condizioni perfette per una catastrofe annunciata.

Nonostante l’Italia mantenga la leadership nel turismo digitale europeo, Travel And Tour World le 32.000 strutture alberghiere nazionali – concentrate in destinazioni premium come Venezia, Ischia e la Costiera Amalfitana – rischiano di compromettere decenni di reputazione costruita sul “Made in Italy” turistico. Global Market Insights La soluzione esiste: tecnologie accessibili da €1-3 al mese per dispositivo e €2,4 miliardi di fondi PNRR disponibili, Hotel Tech Report ma richiede un cambio di paradigma culturale e organizzativo immediato. 

Il quadro normativo italiano presenta una stratificazione unica che complica drammaticamente la compliance per le piccole strutture ricettive. L’intersezione tra il GDPR europeo, il Codice Privacy italiano e l’articolo 109 del TULPS crea obblighi spesso contraddittori. Le strutture devono verificare “de visu” l’identità degli ospiti per legge di pubblica sicurezza, ma il Garante Privacy vieta la fotocopia dei documenti, richiedendo la cancellazione immediata dei dati dopo la trasmissione alle questure tramite il portale AlloggiatiWeb.

Le sanzioni del Garante mostrano un’escalation preoccupante: NH Italia ha ricevuto una multa di €200.000 nel 2023 per violazioni multiple del GDPR, Garante Privacy mentre anche piccoli hotel come quello di Bellaria-Igea Marina hanno subito sanzioni di €3.000-5.000 per errori nella videosorveglianza. Garante Privacy L’obbligo di notifica dei data breach entro 72 ore DLA Piper aggiunge ulteriore pressione su strutture che spesso non hanno personale IT dedicato.

La pandemia ha accelerato la digitalizzazione normativa senza fornire adeguato supporto alle PMI. Il Decreto Semplificazioni del 2020 spinge verso il check-in digitale, ma la Circolare del Ministero dell’Interno di novembre 2024 conferma l’obbligo della verifica fisica, creando confusione operativa. Solo una recente sentenza del TAR Lazio di maggio 2025 ha parzialmente chiarito la legittimità del check-in remoto con verifica successiva, Lodgify dimostrando come il sistema normativo sia in costante evoluzione e difficile da seguire per piccoli operatori.

Ed ecco individuata la prima vulnerabilità sistemica del tessuto imprenditoriale del settore

L’analisi della struttura del settore alberghiero italiano rivela vulnerabilità sistemiche profonde. Su 32.000 strutture ricettive totali, l’80% sono hotel indipendenti a gestione prevalentemente familiare, mentre le catene internazionali rappresentano solo il 20,1% del mercato con 2.200 hotel. (https://www.thrends-italy.com/chains-monitor-italy-h2-2023-by-thrends/)

Questa frammentazione, se da un lato costituisce la ricchezza del turismo italiano, dall’altro crea una debolezza strutturale di fronte alle minacce cyber.

I dati sulla digitalizzazione sono allarmanti: mentre l’88% delle strutture utilizza almeno uno strumento digitale, prevalentemente per la distribuzione online, solo il 63% ha implementato un Property Management System completo. Ma il dato più preoccupante riguarda gli investimenti in sicurezza: le PMI italiane investono il 50% in meno delle controparti americane, destinando appena il 3% del budget IT alla cybersecurity e un misero 2% alla formazione del personale.

Il gap di competenze è drammatico: il 43% delle PMI non ha un responsabile della sicurezza informatica, il 72,7% non ha mai implementato formazione sulla cybersecurity e il 73,3% non conosce nemmeno cosa sia un attacco ransomware. Questa situazione è aggravata dalla forte dipendenza da fornitori esterni per la gestione IT, che se da un lato offre accesso a competenze specializzate, dall’altro riduce il controllo diretto sulla sicurezza dei dati. Albergo Magazine

I sistemi di gestione più diffusi – Zucchetti Scrigno per le PMI di fascia alta e Oracle OPERA per le catene – presentano vulnerabilità intrinseche dovute alle multiple integrazioni con channel manager, booking engine e sistemi di pagamento. Gli aggiornamenti di sicurezza vengono spesso posticipati per non interrompere l’operatività durante l’alta stagione, creando finestre di vulnerabilità che i criminali sfruttano sistematicamente.

L’evoluzione delle minacce segue il calendario turistico

Il panorama delle minacce cyber nel settore hospitality mostra un’evoluzione sofisticata e mirata. MDPI I dati del 2024-2025 rivelano un aumento del 53% degli eventi cyber nel primo semestre 2025, con 1.549 eventi registrati e un incremento del 98% degli incidenti con impatto confermato. Le PMI rappresentano l’80% delle vittime di attacchi ransomware, AcropoliumTechMagic confermando come i criminali abbiano spostato il focus dalle grandi catene alle strutture più vulnerabili. 

Gli attacchi seguono pattern stagionali precisi: il 66% dei dirigenti IT si aspetta picchi durante l’estate 2025, quando le strutture operano a piena capacità con personale stagionale meno formato. Il caso MGM Resorts del 2023 è paradigmatico: un attacco iniziato con una telefonata di 10 minuti ha causato perdite superiori ai 100 milioni di dollari e 10 giorni di downtime durante la stagione di punta. Daily Security Review. Il mercato nero dei documenti d’identità rappresenta una minaccia specifica per il settore. I passaporti italiani valgono €200-300 per scansioni digitali e fino a €4.000 per documenti presumibilmente autentici. I documenti di clienti alto-spendenti delle destinazioni luxury italiane sono particolarmente ricercati, con passaporti diplomatici che raggiungono i €70.000. Keesing Platform Questi dati vengono utilizzati per frodi finanziarie complesse, apertura di conti bancari e bypass dei sistemi di autenticazione a due fattori. MDPI

Le tecniche di attacco si sono evolute drammaticamente con l’introduzione dell’intelligenza artificiale. Gli attacchi deepfake sono aumentati del 442% nel 2024, The Hacker News con criminali che utilizzano video e voice cloning per impersonare dirigenti e autorizzare trasferimenti fraudolenti. Il 32,5% dei dipendenti italiani apre email di phishing, il 24,6% interagisce con link malevoli e il 19,6% inserisce credenziali in form predisposti dagli hacker, numeri che dimostrano l’efficacia devastante del social engineering potenziato dall’AI.

L’analisi dell’impatto economico dei data breach rivela conseguenze potenzialmente fatali per le PMI turistiche italiane. LinkedIn

I costi diretti variano da €200.000 a oltre €2 milioni per incidente, includendo incident response, sanzioni GDPR, spese legali e notifiche agli interessati. Per strutture con fatturati medi di pochi milioni di euro, questi costi possono significare il fallimento immediato.

Ma sono i costi indiretti a rivelarsi più devastanti nel lungo termine. Le strutture colpite registrano un calo delle prenotazioni del 15-25% nel primo anno post-breach, con tempi di recupero reputazionale che si estendono a 24-36 mesi. Il 31% dei clienti interrompe definitivamente la relazione commerciale dopo un breach, Cybermagazine mentre il 60% considera seriamente di cambiare fornitore.

L’impatto sulla reputazione online è particolarmente critico in un settore dove l’86% dei turisti legge recensioni prima di prenotare. Legal for Digital Un data breach genera mediamente un aumento del 20-30% delle recensioni negative, con effetti amplificati per le strutture di lusso che subiscono cali di occupancy fino al 30%. Il caso Marriott, con 339 milioni di record compromessi e costi legali di 52 milioni di dollari solo negli USA, DigitalDefynd dimostra come anche i giganti del settore fatichino a recuperare.

Per il turismo italiano di qualità, il rischio è sistemico. Nonostante l’Italia mantenga il primo posto nell’European Tourism Reputation Index 2024 con 115,5 punti, la vulnerabilità delle PMI che costituiscono l’ossatura del settore minaccia questa leadership. Destinazioni premium come Venezia, la Costiera Amalfitana e Ischia, dove si concentra il turismo alto-spendente internazionale, Economia Italia sono particolarmente esposte al rischio reputazionale di breach multipli che potrebbero compromettere l’immagine del “Made in Italy” turistico.

Soluzioni accessibili esistono ma richiedono un cambio culturale

Contrariamente alla percezione diffusa, esistono soluzioni di cybersecurity accessibili e scalabili per le PMI turistiche italiane. Le tecnologie di base partono da €1-3 al mese per dispositivo, con soluzioni entry-level come Bitdefender Ultimate a €359,99/anno per 10 utenti o F-Secure a €119,99/anno per 10 dispositivi. Vendor italiani specializzati come TeamSystem, Cyber4you e Swascan offrono pacchetti specifici per l’hospitality con supporto in italiano e prezzi competitivi.

Il panorama dei finanziamenti è particolarmente favorevole: il PNRR destina €2,4 miliardi alla digitalizzazione del settore turistico, con il Fondo di Garanzia PMI che mette a disposizione €358 milioni specificamente per il turismo.

Il credito d’imposta raggiunge l’80% per la digitalizzazione delle strutture ricettive, mentre sono disponibili contributi a fondo perduto fino a €100.000. PMI.it

Federalberghi ha attivato una rete di partner qualificati attraverso accordi quadro che garantiscono tariffe agevolate per i soci.

Esistono inoltre soluzioni “pubbliche” che aiutano le piccole imprese del mezzogiorno non soltanto ad individuare le vulnerabilità e porvi rimedio, ma anche a finanziare gli interventi con finanziamenti attivabili tramite il Microcredito, è il caso del progetto MicroCyber che si propone come una risposta strategica e strutturata per supportare la digitalizzazione e la protezione delle infrastrutture informatiche delle micro, piccole e medie imprese (MPMI), nonché delle Pubbliche Amministrazioni (PA), con un’attenzione particolare rivolta al Mezzogiorno d’Italia.

I modelli di Managed Security Service Provider (MSSP) permettono di accedere a competenze specializzate con costi mensili prevedibili da €50-200 per PMI di 5-50 dipendenti, includendo monitoraggio H24, backup automatizzati e compliance GDPR. 

La roadmap pratica per le PMI prevede interventi immediati a basso costo: password manager aziendali (€3-5/utente/mese), autenticazione multifattore sui sistemi critici, backup cloud automatizzati (€10-50/mese) e una giornata di formazione base per il personale. Questi “quick wins” possono ridurre dell’80% i rischi legati alle password e del 90% l’efficacia degli attacchi phishing.

L’evoluzione tecnologica promette ulteriori semplificazioni: l’intelligenza artificiale sta rendendo la cybersecurity più accessibile con sistemi di detection automatica delle anomalie, anti-phishing intelligente e chatbot per la formazione continua del personale. SiteMinder Entro il 2027, il modello “Everything-as-a-Service” renderà la protezione cyber completamente gestita e invisibile all’utente finale. Global Market Insights

Metodologie di attacco e tattiche dei threat actor

L’evoluzione delle tattiche di attacco nel 2025 mostra un chiaro shift dal ransomware tradizionale verso il data theft mirato, con particolare focus sui documenti di identità piuttosto che sui dati delle carte di credito. Questo cambiamento strategico riflette il maggior valore a lungo termine dell’identity theft rispetto al fraud finanziario immediato. I passaporti di alta qualità, specialmente quelli di cittadini statunitensi, tedeschi e israeliani, raggiungono valori tra 800 e 20.000 euro sui mercati underground, significativamente superiori ai dati finanziari tradizionali. 

Le tecniche di social engineering dominano il panorama degli attacchi, con un incremento del 442% negli attacchi di vishing potenziati dall’intelligenza artificiale.

Il caso emblematico di MGM Resorts, dove Scattered Spider è riuscito a compromettere l’intera infrastruttura attraverso una singola chiamata all’helpdesk, ReversingLabs dimostra l’efficacia devastante di queste tecniche. Asimily

Il breakout time medio nel 2025 è sceso a soli 48 minuti, con il caso più veloce documentato in appena 51 secondi dalla compromissione iniziale al movimento laterale nella rete.(CrowdStrike)

L’esfiltrazione di grandi volumi di dati, come i 38.000+ file di immagini menzionati negli scenari di attacco, segue pattern tecnici precisi. Gli attaccanti utilizzano script automatizzati per il recursive directory traversal, implementano batch processing per evitare i threshold di detection, e sfruttano servizi cloud legittimi come Amazon S3, Google Drive e Dropbox per mascherare il traffico malevolo. La compressione dei dati avviene tramite archivi RAR o 7ZIP protetti da password e suddivisi in volumi più piccoli per evitare il rilevamento basato sulle dimensioni. Le tecniche anti-forensics includono il timestomping per modificare i tempi di creazione e modifica dei file, la cancellazione dei log tramite comandi wevtutil, e l’eliminazione delle Volume Shadow Copy per impedire il recovery. 

Pattern geografici e targeting strategico del turismo luxury

L’Italia rappresenta un target premium nel panorama globale degli attacchi al settore hospitality, con caratteristiche distintive che la rendono particolarmente attraente per i cybercriminali. Il turismo luxury genera 9 miliardi di euro annui, rappresentando il 3% del PIL nazionale, con una crescita del 9,2% annua rispetto al 5,2% del turismo generale. (QuiFinanza) Il 25% della spesa turistica luxury è internazionale, pari a 25 miliardi di euro annui, con clienti provenienti da USA, Germania, Regno Unito e Svizzera che rappresentano il 65% delle presenze nel segmento alto di gamma.

La frammentazione del mercato alberghiero italiano, dominato da hotel boutique e strutture indipendenti piuttosto che da grandi catene internazionali, crea vulnerabilità sistemiche.

Le PMI del settore, che rappresentano la maggioranza degli hotel di lusso italiani, vengono colpite quattro volte più frequentemente delle grandi organizzazioni secondo il Verizon DBIR 2025. Questi hotel boutique operano tipicamente con budget di cybersecurity limitati, sistemi legacy non aggiornati e servizi IT in outsourcing che introducono ulteriori rischi nella supply chain.

Il timing degli attacchi mostra una correlazione diretta con i periodi di alta stagione e gli eventi premium. Gli attaccanti sincronizzano le loro operazioni con Fashion Week, festival cinematografici e altri eventi che attraggono clientela VIP, massimizzando sia il volume di dati disponibili che il loro valore potenziale. Venezia durante la Biennale, Milano durante le settimane della moda, e le destinazioni esclusive come Ischia e la Costa Smeralda durante l’estate rappresentano target privilegiati per questa tipologia di attacchi mirati.

Implicazioni per la sicurezza nazionale e intelligence

I data breach nel settore alberghiero di lusso sollevano questioni critiche di sicurezza nazionale che vanno ben oltre le perdite economiche immediate. Gli hotel di fascia alta ospitano regolarmente diplomatici, funzionari governativi e business leader internazionali, rendendo i loro dati di valore strategico per operazioni di intelligence. Nei primi mesi del 2025 campagne russe che utilizzano ISP compromessi per spiare diplomatici, e i documenti rubati dagli hotel potrebbero facilitare operazioni di spionaggio attraverso l’assunzione di identità false o il social engineering avanzato. (The RegisterBank)

Il sistema AlloggiatiWeb, progettato come strumento di sicurezza nazionale per il tracciamento dei movimenti sospetti e la prevenzione del terrorismo, diventa paradossalmente un punto di vulnerabilità Garante Privacy quando compromesso. 

La vendita di 90.000 documenti autentici sui mercati underground Zerozone non solo facilita il furto d’identità su larga scala, ma mina anche l’integrità dei controlli antiterrorismo e immigrazione.

I documenti di alta qualità scannerizzati negli hotel possono essere utilizzati per creare falsificazioni sofisticate, bypassare i controlli KYC negli exchange di criptovalute, o facilitare il movimento di individui attraverso i confini Schengen.

L’analisi dei pattern di targeting suggerisce possibili coinvolgimenti di attori stato-nazione. La sofisticazione degli attacchi, il targeting selettivo di hotel che ospitano specifiche nazionalità, e le tempistiche coordinate su multiple strutture sono indicatori coerenti con campagne di intelligence piuttosto che con criminalità comune. Gruppi APT come Secret Blizzard (Russia) e Salt Typhoon (Cina) hanno dimostrato interesse particolare per i dati di cittadini americani, diplomatici britannici post-Brexit, e funzionari israeliani, tutti regolarmente ospiti degli hotel di lusso italiani. The Register BankInfoSecurity

Confronto con il panorama internazionale degli attacchi

Il confronto con i breach internazionali nel settore hospitality rivela sia pattern comuni che peculiarità italiane. I casi di MGM Resorts e Caesars Entertainment negli Stati Uniti, entrambi compromessi dal gruppo Scattered Spider attraverso tecniche di social engineering, hanno causato danni rispettivamente di 100 milioni e 15 milioni di dollari. Marriott International ha subito breach multipli tra il 2014 e il 2022, con 500 milioni di record compromessi nel caso Starwood, risultando in settlement da 52 milioni di dollari negli USA e multe GDPR da 23,8 milioni di sterline nel Regno Unito.

L’Europa mostra pattern di attacco differenti, con maggiore focus su supply chain attacks e database exposure. Il breach di Otelier nel 2024, che ha compromesso 7,8TB di dati e 437.000 account email affecting Marriott, Hilton e Hyatt, esemplifica la vulnerabilità delle piattaforme di gestione centralizzate. 

Il caso di Motel One, vittima di AlphV/BlackCat con 24 milioni di file e 6TB di dati esfiltrati, Asimily rappresenta l’escalation delle capacità di esfiltrazione dei ransomware groups moderni.

L’Italia si distingue per la combinazione unica di fattori di rischio: l’alta concentrazione di clientela luxury internazionale, la frammentazione del mercato dominato da strutture indipendenti, l’integrazione obbligatoria con sistemi governativi legacy, e la posizione strategica nel Mediterraneo che attrae sia turismo VIP che interesse di intelligence straniera. Questa convergenza di fattori rende il settore alberghiero italiano un laboratorio naturale per l’evoluzione delle tecniche di attacco nel settore hospitality globale.

Il panorama delle minacce cyber per il settore alberghiero italiano di lusso nel 2025 presenta una complessità senza precedenti che richiede una risposta coordinata e multidimensionale. L’assenza di evidenze pubbliche per i casi specifici di Hotel Ca’ dei Conti, Casa Dorita e Hotel Regina Isabella non diminuisce la gravità delle vulnerabilità sistemiche identificate, che espongono l’intero comparto a rischi esistenziali per la sua sostenibilità e credibilità internazionale.

Le raccomandazioni immediate includono il patching critico della CVE-2023-21932 su tutti i sistemi Oracle Opera, l’implementazione di autenticazione multi-fattore FIDO2-compliant resistente al phishing, la segregazione completa delle reti PMS dall’infrastruttura guest e internet, e l’adozione di backup immutabili con copie offline. 

Il costo stimato dell’impatto dei cyberattacchi sull’economia italiana nel 2025 raggiunge i 66 miliardi di euro, pari al 3,5% del PIL,  rendendo questi investimenti in sicurezza non solo necessari ma economicamente indispensabili.

La sfida per il settore alberghiero italiano è trasformare questa crisi in opportunità, posizionandosi come leader globale negli standard di cybersecurity per l’hospitality di lusso. 

Solo attraverso un approccio che integri tecnologia avanzata, formazione continua del personale, cooperazione con le autorità di sicurezza nazionale, e trasparenza con i partner internazionali, l’Italia potrà preservare e rafforzare la sua posizione privilegiata nel turismo luxury globale, garantendo al contempo la sicurezza dei dati sensibili che le vengono affidati da ospiti di alto profilo provenienti da tutto il mondo.

Intervenire con urgenza per salvare l’eccellenza turistica italiana

Il settore hospitality italiano si trova di fronte a una scelta esistenziale. La combinazione di vulnerabilità strutturali delle PMI, evoluzione delle minacce cyber e stringenza normativa crea una tempesta perfetta che minaccia le fondamenta stesse del turismo nazionale.(LinkedIn)

Non agire significa accettare che il 60% delle PMI colpite da un attacco grave chiuda entro sei mesi, (Agenda Digitale) compromettendo un tessuto imprenditoriale che rappresenta l’essenza stessa dell’ospitalità italiana.

La buona notizia è che le soluzioni esistono e sono accessibili.

Con investimenti minimi e l’utilizzo intelligente dei fondi disponibili, anche la più piccola struttura ricettiva può raggiungere livelli di protezione adeguati. Ma questo richiede un cambio di paradigma culturale: la cybersecurity non è più un optional tecnologico ma un requisito fondamentale per la sopravvivenza nel mercato digitale contemporaneo.

Il futuro del turismo italiano dipende dalla capacità delle sue 32.000 strutture ricettive di evolversi rapidamente. Le associazioni di categoria, le istituzioni e i vendor tecnologici devono collaborare per creare un ecosistema di supporto che renda la sicurezza informatica accessibile, comprensibile e sostenibile per tutti. Solo così l’Italia potrà mantenere la sua leadership nel turismo europeo, (Travel And Tour World) proteggendo al contempo il patrimonio di dati e la fiducia dei milioni di ospiti che ogni anno scelgono il Bel Paese per le loro vacanze.

Fonte: https://www.difesaonline.it/2025/08/11/2025-pmi-alberghiere-italiane-nella-tempesta-perfetta-della-cybersecurity/