Cosa sono gli attacchi hacktivisti e come funzionano

Gli attacchi hacktivisti utilizzano l'hacking per promuovere una causa politica, sociale o ideologica. L'autore dell'attacco potrebbe voler mettere in imbarazzo un bersaglio, bloccare l'accesso a un servizio, pubblicare file rubati o trasformare una normale giornata lavorativa in un problema pubblico. Il bersaglio può essere un ente governativo, un'azienda, un'organizzazione benefica, un sito mediatico o un progetto nel settore delle criptovalute che è finito sotto i riflettori per motivi sbagliati.

Il fenomeno si è intensificato. L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha segnalato che la pubblica amministrazione è stata il settore più preso di mira nel panorama delle minacce dell’UE, con il 38% degli incidenti. Nel suo rapporto sulla pubblica amministrazione del 2025, l’ENISA ha inoltre affermato che gli attacchi DDoS hanno rappresentato quasi il 64% degli incidenti informatici segnalati pubblicamente ai danni di enti pubblici dell’UE nel periodo in esame. Anche la CISA, l'FBI e le agenzie partner hanno lanciato un allarme nel dicembre 2025 riguardo agli hacktivisti filo-russi che sferrano attacchi opportunistici contro infrastrutture critiche negli Stati Uniti e in altri paesi.

Che cos'è un attacco hacktivista?

L'attacco hacktivista consiste nell'uso di tecniche informatiche per promuovere una causa politica, sociale, ambientale o ideologica. Per capire cosa sia l'hacktivismo, basta osservare il termine stesso: si tratta infatti di una fusione tra "hacking" e "attivismo".

Un hacktivista è un individuo o un gruppo che mette in atto questi attacchi. Pur utilizzando gli stessi strumenti degli hacker “black hat”, il loro obiettivo finale è diverso. Gli hacktivisti possono prendere di mira governi, aziende, mezzi di comunicazione o altre istituzioni a cui si oppongono.

Sebbene le agenzie governative di alto profilo e le multinazionali siano gli obiettivi principali, gli hacktivisti puntano anche su:

• Obiettivi dei vigilanti: i gruppi possono prendere di mira i cartelli della droga, i forum estremisti o le reti di traffico di esseri umani per ostacolarne le attività.
• Istituzioni simboliche: organizzazioni religiose o istituti scolastici che incarnano un'ideologia alla quale gli hacktivisti si oppongono.
• Vulnerabilità della catena di approvvigionamento: nel 2026 assisteremo a un “hacktivismo crescente”, in cui alcuni gruppi prenderanno di mira i fornitori terzi di dimensioni più ridotte delle grandi organizzazioni per provocare un “effetto domino” di interruzioni.

Principali differenze

• Hacktivismo contro criminalità informatica: il significato principale dell'hacktivismo affonda le sue radici nell'ideologia. Mentre un criminale informatico mira a ottenere un riscatto, un hacktivista vuole lanciare un messaggio o denunciare un'ingiustizia percepita.
• Hacktivismo contro cyberterrorismo: un punto fondamentale è che l'hacktivismo è diverso dal cyberterrorismo. L'hacktivismo mira in genere a interrompere i servizi, rivelare segreti o mettere in imbarazzo un avversario. Il cyberterrorismo, al contrario, mira a causare danni fisici, vittime in massa o la distruzione di infrastrutture critiche per incutere terrore.

Il termine è stato coniato negli anni '90 dal gruppo "Cult of the Dead Cow", ma si è poi trasformato in un fenomeno globale in cui governi, aziende e mezzi di comunicazione sono spesso presi di mira.

Hacktivismo vs. Crimine informatico vs. Ciberterrorismo

Nota: dal 2022, il confine tra hacktivismo e operazioni sponsorizzate dallo Stato è diventato sempre più labile. Molti gruppi legati allo Stato operano ora con il tacito coordinamento dei governi nazionali, fungendo da copertura “civile” per obiettivi militari.

Come funzionano gli attacchi degli hacktivisti?

Gli hacktivisti ricorrono a una serie di tecniche per raggiungere i propri obiettivi, che vanno dal semplice flooding del traffico a complesse strategie di ingegneria sociale.

1. DDoS (Distributed Denial of Service)

Si tratta della tecnica più diffusa. Sommersendo l'infrastruttura di un bersaglio con enormi quantità di traffico, gli hacktivisti rendono i siti web inaccessibili. È una sorta di «occupazione» digitale. Spesso questi gruppi utilizzano strumenti come il Low Orbit Ion Cannon (LOIC) per coordinare questi attacchi.

Scopri di più sui tipi di attacchi DDoS.

2. Attacchi di defacement ai siti web

Ciò comporta la sostituzione dei contenuti del sito web della vittima con immagini o materiale propagandistico dell'hacktivista. Si tratta di un gesto altamente simbolico, volto a mettere in imbarazzo pubblicamente la vittima.

3. Violazioni dei dati e doxxing

Gli hacktivisti spesso rubano dati interni sensibili per denunciare comportamenti illeciti: una tattica che rientra in un quadro più ampio di violazioni della sicurezza informatica. Il doxxing consiste nel rendere pubbliche informazioni di identificazione personale (PII) di dirigenti o politici al fine di intimidirli. Gruppi come WikiLeaks sono stati i pionieri di questo approccio di “trasparenza radicale”.

4. Disobbedienza civile digitale (mirroring e geo-bombing)

Gli hacktivisti ricorrono spesso a tattiche "basate sui servizi" per aggirare la censura o denunciare le violazioni dei diritti umani:

• Mirroring di siti web: quando un governo o un'azienda censura un sito, gli hacktivisti ne creano copie esatte (mirror) con indirizzi URL diversi per garantire che le informazioni rimangano accessibili.
• Geo-bombing: una tattica che sfrutta i metadati di localizzazione presenti in video o immagini per rivelare le coordinate di prigionieri politici o di attività delicate, spesso utilizzata per segnalare alla comunità internazionale le violazioni dei diritti umani. (Nota: il termine è talvolta utilizzato anche per indicare la geolocalizzazione dei video al fine di renderli reperibili in base alla posizione geografica.)
• RECAP e la diffusione delle informazioni: Alcuni gruppi utilizzano estensioni specializzate per i browser – come RECAP (uno strumento che consente di accedere agli atti dei tribunali federali statunitensi, normalmente disponibili solo tramite il servizio a pagamento PACER) – per rendere i documenti liberamente accessibili, sostenendo che le informazioni finanziate con fondi pubblici dovrebbero essere a disposizione di tutti.

5. Phishing via e-mail e ingegneria sociale

Gli hacktivisti ricorrono al phishing via e-mail per ottenere un accesso iniziale alle reti protette. Spesso ricorrono allo spoofing dei domini, inviando e-mail che sembrano provenire dall'organizzazione stessa, per diffondere disinformazione o raccogliere credenziali. È proprio in questi casi che l'applicazione del DMARC diventa una difesa fondamentale.

6. Attacchi DNS e dirottamento

Reindirizzando il traffico del sito web di una vittima verso un server controllato da hacktivisti, gli aggressori possono costringere gli utenti a visualizzare messaggi politici.

Scopri di più sui tipi di attacchi DNS.

7. Doxbin e le piattaforme di data dumping

Oltre alla violazione iniziale, gli hacktivisti pubblicano spesso i dati rubati su piattaforme pubbliche come Doxbin, con l'intento di "smascherare e mettere alla gogna" pubblicamente le vittime. Questa tattica è spesso abbinata a una campagna coordinata sui social media, volta a massimizzare il danno reputazionale e a esercitare una pressione pubblica costante sul bersaglio.

Da notare: l'hacktivismo vanta una lunga storia. La Britannica descrive Anonymous come un movimento decentralizzato di attivisti digitali noto per gli attacchi informatici di grande risonanza contro governi, aziende e altre istituzioni. Nelle prime fasi, i gruppi ricorrevano alla manomissione di siti web, alla divulgazione di dati e alle campagne di tipo «denial of service» per far valere le proprie ragioni. Gli strumenti sono cambiati, ma lo scopo rimane spesso lo stesso: farsi notare e costringere il bersaglio a reagire.

La portata di questi attacchi continua ad aumentare. Cloudflare ha dichiarato di aver rilevato e neutralizzato 8,3 milioni di attacchi DDoS nel terzo trimestre del 2025, con un aumento del 40% rispetto allo stesso trimestre dell'anno precedente.

Quali sono i gruppi di hacktivisti più noti?

Per comprendere il panorama è necessario considerare i principali protagonisti che hanno definito il significato di "hacktivismo" nell'ultimo decennio.

Anonimo

Il collettivo di hacktivisti anonimi è il movimento più conosciuto al mondo. Si tratta di un'entità decentralizzata e priva di leader che utilizza la maschera di Guy Fawkes come simbolo.

• Operazioni di rilievo: operazioni contro Scientology (#OpChurch), l'ISIS (#OpISIS) e il recente sostegno all'Ucraina (#OpRussia).
• Portata: con un potenziale di traffico di oltre 54.000 ricerche mensili, Anonymous rimane il simbolo della disobbedienza civile digitale.

Anonymous ha raggiunto per la prima volta la notorietà a livello mondiale nel 2008 con il Progetto Chanology. Il gruppo ha preso di mira la Chiesa di Scientology con attacchi DDoS e fax neri dopo che la chiesa aveva tentato di rimuovere da Internet un video trapelato.

Killnet

Un gruppo filorusso salito alla ribalta nel 2022. È specializzato in attacchi DDoS su larga scala contro gli Stati membri della NATO e le infrastrutture occidentali.

Esercito informatico dell'Ucraina

Un'iniziativa basata sul volontariato organizzata dal governo ucraino. Segna l'inizio di una nuova era in cui l'hacktivismo è ufficialmente autorizzato e coordinato dallo Stato in tempo di guerra.

LulzSec

LulzSec, un gruppo di breve durata ma di grande risonanza attivo nel 2011, è stato responsabile di attacchi informatici ai danni di Sony, della CIA e della Serious Organised Crime Agency britannica. Il gruppo agiva in egual misura per motivi ideologici e per ottenere notorietà, rendendo meno netta la distinzione tra puro hacktivismo e dimostrando come gruppi ristretti e ben coordinati potessero violare le difese di istituzioni ben protette.

Gruppo Lazarus (legato allo Stato)

Sebbene si tratti principalmente di una minaccia persistente avanzata (APT) sponsorizzata dallo Stato nordcoreano, il Gruppo Lazarus riveste un ruolo rilevante nel panorama hacktivista poiché ricorre spesso a pretesti ideologici e politici tipici delle operazioni hacktiviste. La sua inclusione in questo contesto riflette la crescente convergenza tra attori statali e tattiche hacktiviste – una tendenza che rende sempre più difficile distinguere gli “attivisti ribelli” dalle operazioni dirette dai governi.

Nota per il 2026: l'hacktivismo moderno si è trasformato in una «guerra ibrida». Gruppi come DieNet e Keymous+ (emersi come forze dominanti nel 2025) ora si allineano spesso alle narrazioni statali, che fondono la protesta ideologica con strumenti di attacco informatico di livello professionale. Ciò rende quasi impossibile distinguere tra un «attivista ribelle» e un «attore statale».

Esempi concreti di attacchi hacktivisti

Gli esempi seguenti illustrano come gli attacchi degli hacktivisti si siano trasformati da proteste isolate in campagne coordinate di rilevanza geopolitica.

L'hacktivismo è illegale?

Nonostante le giustificazioni "morali" spesso addotte da questi gruppi, la risposta è chiara: l'hacktivismo è illegale? Sì. Negli Stati Uniti, queste azioni violano il Computer Fraud and Abuse Act (CFAA). Nel Regno Unito, il Computer Misuse Act del 1990 criminalizza l’accesso non autorizzato e gli attacchi DDoS. Analogamente, la direttiva dell’UE sugli attacchi contro i sistemi informativi vieta queste attività in tutti gli Stati membri. La motivazione ideologica non costituisce una difesa legale in tribunale. Le sanzioni spesso includono pene detentive significative e multe salate.

In che modo le organizzazioni possono proteggersi dagli attacchi degli hacktivisti?

Per difendersi dagli hacktivisti nel 2026 non bastano le impostazioni "standard". È necessaria una difesa a più livelli in grado di contrastare in modo proattivo le loro tattiche preferite. Ecco come costruire una fortezza digitale:

1. Proteggi il tuo dominio e-mail con PowerDMARC

Gli hacktivisti ricorrono spesso all'usurpazione d'identità per diffondere disinformazione. Se non si imposta " p=reject", si lascia la porta aperta.

• Garantisci una sicurezza rigorosa: PowerDMARC semplifica l'implementazione di SPF, DKIM e DMARC senza il rischio di bloccare le e-mail legittime.
• Gestione automatizzata: utilizza i nostri servizi Hosted DMARC e Hosted SPF (PowerSPF) per superare i limiti delle ricerche DNS e gestire i record in tempo reale da un'unica dashboard.
• Prova visiva: distinguiti come mittente verificato grazie a BIMI (Brand Indicators for Message Identification), che mostra il tuo logo ufficiale nelle caselle di posta, rendendo praticamente impossibile per gli hacktivisti falsificare l'identità del tuo marchio.

2. Anticipare le minacce grazie all'intelligence sulle minacce basata sull'intelligenza artificiale

Non aspettare che l'attacco avvenga. La Threat Intelligence basata sull'intelligenza artificiale di PowerDMARC funge da sentinella digitale attiva 24 ore su 24, 7 giorni su 7.

• Individua in tempo reale gli indirizzi IP dannosi e le liste nere globali.
• Ottieni rapporti forensi dettagliati, crittografati a tutela della tua privacy, che ti mostrano esattamente chi sta tentando di falsificare il tuo dominio e da dove proviene.

3. Implementare solide difese contro gli attacchi DDoS e gli attacchi web

Gli hacktivisti adorano deturpare siti web o mettere fuori uso i server con attacchi DDoS.

• Misure di mitigazione: utilizzare servizi DDoS dedicati per filtrare il traffico e implementare la limitazione della velocità. Comprendere la differenza tra DoS e DDoS è il primo passo per preparare il proprio team.
• Rafforzare la sicurezza della superficie di attacco: implementare un Web Application Firewall (WAF) e assicurarsi che tutti i plugin del CMS siano aggiornati. La sicurezza della piattaforma PowerDMARC si basa proprio su questa architettura "security-first" per garantire un tempo di attività del 99,9%.

4. Assumere il controllo della superficie di attacco

Meno informazioni hanno gli hacktivisti, più difficile sarà per loro divulgare i dati personali del tuo team o mettere in atto una truffa di ingegneria sociale.

• Ridurre al minimo l'esposizione: verificare i dati pubblici disponibili sui propri dipendenti.
• Rimozione proattiva: se individui un sito dannoso che si spaccia per il tuo, utilizza il nostro servizio Power Take Down per far rimuovere rapidamente dal web i domini e i contenuti fraudolenti.

Riassunto

La vera sfida dell'hacktivismo sta nel fatto che non si tratta di soldi, ma di provocare sconvolgimenti e lanciare un messaggio. Man mano che le proteste digitali si legano sempre più agli eventi globali, le aziende devono rendersi conto che il semplice fatto di «mantenere una posizione neutrale» non significa che siano al riparo dal diventare un bersaglio.

Per proteggersi, è fondamentale concentrarsi su due aspetti: rafforzare l'infrastruttura esposta al pubblico e proteggere i propri domini di posta elettronica. Dato che gli hacktivisti amano ricorrere allo spoofing delle e-mail per diffondere disinformazione, garantire la sicurezza in questo ambito è uno dei modi migliori per preservare la reputazione del proprio marchio.

Proteggi subito il tuo dominio dal rischio di furti d'identità da parte di hacktivisti. Richiedi una prova gratuita di DMARC con PowerDMARC per garantire la massima sicurezza della tua posta elettronica.

Domande frequenti

Quali sono alcuni esempi famosi di hacktivismo?

L'operazione Payback (2010) ha visto Anonymous lanciare attacchi DDoS coordinati contro PayPal, Visa e Mastercard dopo che queste società avevano sospeso l'elaborazione dei pagamenti per WikiLeaks. La violazione di HBGary Federal (2011) ha portato Anonymous a rendere pubbliche decine di migliaia di e-mail interne di una società di sicurezza informatica che aveva pianificato di smascherare i membri di Anonymous. L'attacco hacker alla Sony Pictures (2014), ampiamente attribuito dalle autorità statunitensi alla Corea del Nord, ha combinato un'intrusione a livello statale con fughe di dati in stile hacktivista e minacce pubbliche. Più recentemente, #OpRussia ha visto Anonymous e gruppi affiliati prendere di mira siti del governo russo, media statali e database a partire dall'invasione dell'Ucraina del 2022.

Quali sono i gruppi di hacktivisti più noti?

Anonymous è il collettivo più conosciuto, riconoscibile per l'uso della maschera di Guy Fawkes e per la sua struttura decentralizzata e priva di leadership. LulzSec è stato un gruppo di breve durata ma molto dirompente, responsabile di diverse violazioni di alto profilo nel 2011. Più recentemente, il panorama si è spostato verso operazioni allineate agli interessi statali: Killnet conduce campagne DDoS in linea con gli interessi geopolitici russi, mentre l'IT Army of Ukraine è una forza di volontari coordinata dallo Stato che opera contro obiettivi russi. Il confine tra l'hacktivismo indipendente e le operazioni informatiche dirette dallo Stato è diventato sempre più difficile da definire.

L'hacktivismo è mai davvero legale?

In quasi tutte le giurisdizioni, gli attacchi hacktivisti sono illegali indipendentemente dalle motivazioni che li sottendono. L'accesso non autorizzato ai sistemi e gli attacchi DDoS violano leggi come il Computer Fraud and Abuse Act (CFAA) negli Stati Uniti e il Computer Misuse Act 1990 nel Regno Unito. L'intento politico o ideologico dell'autore dell'attacco non costituisce una difesa legale. Le sanzioni vanno da multe ingenti a pene detentive significative: diversi membri di Anonymous sono stati perseguiti e condannati.

In che modo gli hacktivisti scelgono i propri obiettivi?

La scelta degli obiettivi è determinata principalmente dal valore simbolico. Gli hacktivisti tendono a concentrarsi su enti governativi, aziende con un passato controverso dal punto di vista ambientale o sociale e testate giornalistiche che ritengono promuovano una determinata narrativa. L'obiettivo è ottenere la massima visibilità pubblica e il massimo impatto sulla reputazione rispetto allo sforzo richiesto.

In che modo DMARC aiuta a contrastare le campagne degli hacktivisti?

Molte campagne di hacktivismo non si limitano a mettere fuori uso i siti web, ma comportano anche la diffusione di disinformazione tramite l'usurpazione dell'identità dell'organizzazione presa di mira. Gli autori degli attacchi falsificano il dominio di posta elettronica del marchio per inviare comunicazioni fraudolente a clienti, partner o alla stampa. DMARC mitiga questo rischio autenticando le e-mail in uscita e ordinando ai server di destinazione di bloccare o mettere in quarantena i messaggi che non superano la verifica. Impostando p=reject, si impedisce ai mittenti non autorizzati di inviare con successo e-mail che sembrano provenire dal proprio dominio.

• Informazioni su
• Ultimi messaggi

Milena Baghdasaryan

Specialista dei contenuti presso PowerDMARC

Milena è un'abile scrittrice e creatrice di contenuti con oltre 7 anni di esperienza nella creazione di contenuti coinvolgenti su IT, cybersicurezza, eventi virtuali e altro. Ha una comprovata esperienza nella realizzazione di lavori di alta qualità per riviste internazionali e si è laureata in istituzioni prestigiose come la New York University Abu Dhabi, l'UWC China e il College of Europe.

Ultimi messaggi di Milena Baghdasaryan (vedi tutti)

• Sicurezza delle e-mail dell'assistenza clienti: come prevenire risposte false, appropriazioni indebite di account e fughe di dati - 12 giugno 2026
• Server MCP dannosi e sicurezza delle e-mail: la nuova minaccia alla catena di approvvigionamento - 9 giugno 2026
• Come configurare l'autenticazione e-mail per un dominio appena registrato - 2 giugno 2026