Le autorità polacche e ricercatori indipendenti hanno attribuito un attacco informatico su larga scala alla rete elettrica polacca alla fine di dicembre 2025 a hacker statali collegati alla Russia. L’attacco ha preso di mira sistemi che gestiscono la generazione e distribuzione di energia e ha coinvolto malware progettati per cancellare i dati dai sistemi di controllo industriale e interrompere le operazioni. L’incidente non ha causato interruzioni diffuse, ma i funzionari lo hanno descritto come una delle operazioni cibernetiche più significative mai dirette alle infrastrutture critiche polacche.
Il governo polacco ha riferito che i sistemi del 29 e 30 dicembre sono stati soggetti a tentativi di intrusione digitale rivolti alle reti di tecnologia dell’informazione e operativa delle centrali termiche e elettriche combinate e ai sistemi di gestione per installazioni di energie rinnovabili. Questi sistemi coordinano la produzione di elettricità da turbine eoliche, parchi solari e altre fonti di energia distribuita. Le autorità polacche hanno dichiarato che gli attacchi sono stati respinti prima che si verificasse una perdita di corrente.
Gli analisti della sicurezza di una società ESET di cybersecurity hanno identificato il malware utilizzato nell’incidente come una nuova variante del software tergicristallo chiamato DynoWiper. ESET attribuì l’attacco a un gruppo di minaccia avanzato e persistente russo di lunga durata, noto come Sandworm, che i governi occidentali associano alla Direzione Principale dell’Intelligence (GRU) russa. Il gruppo è stato collegato a precedenti campagne cibernetiche dirompenti, incluso un attacco alla rete elettrica ucraina nel 2015.
Il ministro polacco degli affari digitali ha dichiarato che l’incidente è stato il primo attacco su larga scala noto alle risorse energetiche distribuite e ha descritto il targeting sia di installazioni rinnovabili grandi che più piccole come un’escalation delle minacce informatiche al settore energetico. I funzionari hanno detto che l’attacco ha mostrato come i sistemi digitali che collegano gli asset di generazione di energia all’infrastruttura di controllo della rete possano essere sfruttati.
Il Primo Ministro Donald Tusk e i funzionari dell’energia hanno dichiarato che l’operazione sembrava volata a interrompere la comunicazione tra impianti di produzione e operatori di rete. La portata e la sofisticazione dell’attacco hanno suscitato avvertimenti da parte delle autorità nazionali che le infrastrutture critiche restano vulnerabili a future incursioni da parte di attori legati allo Stato. Nonostante la mancanza di interruzioni, l’episodio ha dato il via a piani per rafforzare i requisiti di cybersicurezza per i sistemi energetici e per dotare gli operatori pubblici e privati di strumenti avanzati per il rilevamento e la risposta alle minacce.
Rapporti indipendenti hanno indicato che i ricercatori che hanno analizzato il malware e le tecniche di intrusione hanno riscontrato forti somiglianze con le precedenti campagne di Sandworm, inclusa sovrapposizione di codice e tattiche coerenti con attori collegati al GRU. I governi occidentali in passato hanno ufficialmente attribuito attacchi informatici distruttivi alle infrastrutture europee a unità dell’intelligence militare russa e hanno imposto sanzioni relative a tali operazioni.
Il ministro dell’energia polacco ha descritto l’evento di fine dicembre come il più potente attacco informatico al sistema energetico nazionale degli ultimi anni e ha confermato che le misure difensive hanno prevenuto la perdita di corrente per i consumatori durante un periodo di freddo. La valutazione del governo ha sottolineato l’importanza della vigilanza e di una maggiore protezione per le reti di infrastrutture critiche.