Un attacco informatico su larga scala, mirato a provocare blackout in Polonia tra il 29 e il 30 dicembre 2025, è stato attribuito al gruppo hacker russo Sandworm, legato all’intelligence militare GRU. Il malware impiegato, denominato DynoWiper, è un wiper distruttivo che avrebbe potuto compromettere irreversibilmente i sistemi. Tuttavia, l’attacco è stato neutralizzato in tempo, evitando blackout significativi.
Il wiper DynoWiper e l’analisi di ESET
La società di cybersecurity ESET ha recuperato e analizzato una copia del malware, identificandolo come DynoWiper.
Questo strumento, progettato per cancellare dati in modo irreversibile, è stato collegato con «fiducia media» al gruppo Sandworm. Tale attribuzione si basa su una significativa sovrapposizione con tattiche, tecniche e procedure (TTP) già osservate in precedenti attacchi, in particolare contro l’infrastruttura energetica ucraina. ESET ha precisato che, nonostante la gravità del tentativo, non sono risultate interruzioni reali del servizio.
ESET ha inoltre sottolineato la coincidenza temporale: il tentativo di sabotaggio è avvenuto quasi esattamente dieci anni dopo l’attacco Sandworm del dicembre 2015, che causò l’interruzione dell’elettricità a circa 230.000 utenze a Kiev. L’evento evidenzia la persistenza e l’evoluzione del modus operandi di questo noto Advanced Persistent Threat (APT).
Le dichiarazioni delle autorità polacche
Il 13 gennaio 2026, il Ministro della Digitalizzazione polacco, Krzysztof Gawkowski, ha definito l’evento «il più grave attacco all’infrastruttura energetica della storia recente». Ha riferito che il paese è stato «molto vicino a un blackout» durante il periodo festivo, con condizioni atmosferiche avverse che avrebbero ulteriormente complicato la risposta. L’origine russa è stata indicata come un atto di sabotaggio intenzionale volto a destabilizzare la Polonia. Grazie all’efficacia delle contromisure, il blackout è stato evitato.
Gawkowski ha rimarcato il carattere ibrido della guerra moderna, affermando: «We were very close to a blackout … digital tanks are already here».
Il contesto della cyber‑guerra ibrida
Questo attacco si inserisce in un contesto di intensi e mirati attacchi quotidiani contro l’infrastruttura critica polacca. Report precedenti indicano fino a 300 tentativi di compromissione al giorno nel 2025, per un totale superiore a 100.000, focalizzati su ospedali, sistemi idrici e la rete energetica. Il governo polacco ha risposto aumentando il budget per la cybersecurity, passato da 600 milioni a 1 miliardo di euro nel 2025, e lanciando strutture di difesa civili‑militari avanzate.
Il quadro generale evidenzia un’escalation continua: attacchi a impianti idroelettrici, reti idriche, ospedali e campagne di disinformazione sono parte di una strategia ibrida che attraversa confini digitali, fisici e psicologici.
La reazione polacca, sebbene efficace nel sventare il blackout, sottolinea la necessità di difese di alto livello e monitoraggio costante.
Il caso DynoWiper e Sandworm testimonia che le minacce avanzate non si limitano più all’ombra digitale, ma colpiscono settori essenziali per la vita quotidiana: elettricità, calore, acqua. La resilienza delle infrastrutture dipende oggi da un approccio integrato, che riconosca la natura ibrida della guerra contemporanea e rafforzi la protezione dei sistemi critici con buona consapevolezza situazionale e rapidità di intervento.
