Fantastic: non cercavano il timone, cercavano i passeggeri. Cosa c’è dietro l’operazione di intelligence che ha allarmato mezza Europa
Perché la tesi del “dirottamento remoto” non regge, e cosa ci dice il malware scoperto sulla vera natura dell’operazione
Il 12 dicembre 2025, il traghetto “Fantastic” della compagnia genovese GNV (Gruppo MSC) viene fermato nel porto francese di Sète mentre opera sulla rotta per l’Algeria. A bordo, gli agenti della DGSI, il servizio di sicurezza interna francese, omologo del nostro AISI, conducono una perquisizione su segnalazione dell’intelligence italiana, a sua volta allertata dalla stessa compagnia armatrice.
L’esito dell’operazione: due membri dell’equipaggio fermati, un cittadino lettone ventenne, assunto di recente, e un bulgaro – e il sequestro di un dispositivo contenente un malware di tipo RAT (Remote Access Trojan). Il bulgaro viene rilasciato senza accuse dopo l’interrogatorio. Il lettone viene trasferito a Parigi e incriminato per “associazione a delinquere per perseguire gli interessi di una potenza straniera”, “tentata intrusione nei sistemi informatici” e “detenzione di dispositivi progettati per interferire nei sistemi automatici di navigazione”.
Un secondo cittadino lettone viene fermato dalla Procura di Genova mentre si trova a bordo di un’altra nave nel porto di Napoli, indicato come presunto complice.
La DGSI conduce perquisizioni d’urgenza in Lettonia con il coordinamento di Eurojust. La nave, dopo le verifiche tecniche, riprende il mare. GNV dichiara di aver “individuato e neutralizzato” l’intrusione “senza conseguenze sui sistemi aziendali”.
Fin qui, i fatti documentati.
La narrazione: quando la fiction supera l’analisi
Nelle ore successive, la copertura mediatica ha imboccato una direzione prevedibile quanto fuorviante. I titoli hanno evocato scenari da thriller tecnologico: “nave dirottabile da remoto”, “controllo della navigazione”, fino all’ipotesi, ripresa da Le Parisien, di una nave “guidata contro un obiettivo” o “presa in ostaggio”.
Il ministro dell’Interno francese Laurent Nuñez ha definito il caso “molto serio”, aggiungendo che “l’interferenza straniera molto spesso proviene dallo stesso paese”, un riferimento neanche troppo velato alla Russia. La macchina narrativa era avviata.
Eppure, chi ha esperienza di operazioni cyber e di intelligence marittima riconosce immediatamente le incongruenze di questa ricostruzione.
Perché il “dirottamento remoto” è uno scenario implausibile
Partiamo da un dato tecnico fondamentale, confermato da fonti vicine all’inchiesta e riportato anche da altri media tra cui Bloomberg: il malware ha tentato di accedere alla rete informatica degli uffici della nave, non ai sistemi operativi di navigazione, propulsione o al sistema AIS (Automatic Identification System).
Questa distinzione è cruciale. I sistemi IT di bordo (gestione passeggeri, comunicazioni amministrative, fatturazione) e i sistemi OT (Operational Technology – navigazione, propulsione, governo della nave) sono architetturalmente separati. Non per caso, ma per design. L’esperto di cybersecurity marittima Olivier Jacq, intervistato da Le Parisien, è stato netto: “Il rischio che una nave possa essere controllata da remoto è quasi nullo perché estremamente difficile da implementare. Ci sono circa 200.000 navi negli oceani del mondo e nessuna è mai stata dirottata tramite mezzi cyber, nonostante i gravi conflitti geopolitici in corso.”
Un RAT installato sui sistemi amministrativi non può “pilotare” una nave più di quanto un virus sul PC della segreteria possa far decollare un aereo. Chi propone questo scenario confonde categorie tecniche distinte, oppure – ed è l’ipotesi più interessante – ha interesse a farlo.
L’ipotesi realistica: SIGINT marittima e profilazione dei flussi
Se escludiamo il sabotaggio cinematografico, cosa resta? Un’operazione di intelligence classica, adattata al dominio marittimo.
Un RAT sui sistemi gestionali di un traghetto passeggeri consente accesso persistente e discreto a:
- Liste passeggeri complete: nomi, documenti, nazionalità, frequenza di viaggio
- Manifesti di carico: merci trasportate, mittenti, destinatari
- Pattern di movimento: chi viaggia, quando, con chi, con quale frequenza
- Comunicazioni interne: scambi tra equipaggio e compagnia, procedure operative
- Dati commerciali: clienti, contratti, relazioni d’affari
La rotta Sète-Algeria non è casuale. L’Algeria è il principale fornitore di gas naturale dell’Italia, un partner energetico strategico per l’Europa in fase di diversificazione dalle forniture russe. È anche un paese che mantiene relazioni privilegiate con Mosca, acquirente di armamenti russi, e che ha assunto una posizione di “non allineamento” sulla guerra in Ucraina.
Monitorare chi transita su quella rotta – funzionari, uomini d’affari, tecnici del settore energetico, figure della diaspora algerina, ha un valore di intelligence significativo. Identificare i pattern di viaggio di soggetti sensibili, mappare le relazioni commerciali Italia-Algeria, individuare potenziali obiettivi per operazioni successive: questi sono obiettivi realistici per un servizio di intelligence che opera nel Mediterraneo.
Il profilo dell’operativo, un ventenne lettone, assunto da poco, probabilmente reclutato come “agente occasionale”, è coerente con il modus operandi documentato del GRU negli ultimi anni: agenti a basso costo, alta deniability, reclutati spesso via Telegram, sacrificabili. Lo stesso schema emerso nelle indagini sull’attentato alla linea ferroviaria Varsavia-Lublino.
La cortina fumogena: quando la disinformazione è parte dell’operazione
C’è un aspetto che l’analisi mainstream ha completamente ignorato: in un’operazione di intelligence, la gestione della narrazione pubblica è essa stessa parte dell’operazione.
Consideriamo gli interessi in gioco dopo la scoperta del malware:
Per i servizi russi (se confermata la matrice): massimizzare il rumore, seminare incertezza, gonfiare le capacità percepite. Far credere di poter “dirottare navi da remoto” ha un valore deterrente e psicologico che supera di gran lunga la realtà tecnica. È guerra cognitiva allo stato puro: l’obiettivo non è affondare una nave, ma far credere di poterlo fare.
Per i servizi occidentali: la scelta di rendere pubblica l’operazione (anziché gestirla in silenzio, come spesso accade) risponde a logiche precise. Dimostra capacità di detection e cooperazione internazionale (Italia-Francia-Lettonia-Eurojust). Lancia un messaggio agli avversari: “vi vediamo”. Giustifica ulteriori investimenti in sicurezza marittima. Ma anche qui, gonfiare la minaccia può servire agende domestiche.
Per i media: lo scenario “nave dirottabile” vende infinitamente di più di “tentativo di accesso a database passeggeri”. La selezione narrativa è automatica.
Il risultato è una cortina fumogena che oscura la natura reale dell’operazione. E questa cortina non è un effetto collaterale: è funzionale a tutti gli attori coinvolti. L’unica vittima è l’analisi accurata.
Cosa sappiamo davvero e cosa no
Sappiamo con ragionevole certezza:
- Un malware RAT è stato installato sui sistemi IT (non OT) della nave
- L’operazione è stata individuata dalla compagnia e segnalata ai servizi italiani
- Due cittadini lettoni sono stati arrestati e incriminati
- Perquisizioni sono state condotte in Lettonia con cooperazione europea
- La DGSI francese guida l’indagine come caso di controspionaggio
Non sappiamo (e forse non sapremo mai)
- Il mandante effettivo dell’operazione
- L’obiettivo specifico della raccolta informativa
- Da quanto tempo il malware era attivo prima della scoperta
- Se esistono operazioni analoghe su altre navi, non ancora individuate
L’avvocato del sospettato lettone, Thibault Bailly, ha dichiarato che “la teoria dell’interferenza russa evocata dalla stampa sembra superflua” e che “l’indagine dimostrerà che questo caso non è così preoccupante come poteva sembrare inizialmente”. Potrebbe essere difesa d’ufficio. Potrebbe anche essere un indizio che la realtà è più prosaica, e più interessante, dello scenario hollywoodiano.
Il caso “Fantastic” è significativo non per quello che i media hanno raccontato, ma per quello che rivela sulle operazioni di intelligence nel dominio marittimo contemporaneo.
Le navi passeggeri e cargo sono nodi informativi di enorme valore: attraversano confini, trasportano persone e merci, generano dati. In un’epoca in cui la guerra ibrida si combatte raccogliendo informazioni prima ancora che dispiegando capacità offensive, un traghetto sulla rotta Europa-Nordafrica è un obiettivo naturale.
L’operazione scoperta a Sète, qualunque ne sia la matrice definitiva, ci ricorda che:
- La minaccia cyber al settore marittimo è reale, ma va calibrata correttamente. Non “navi dirottate da remoto”, ma sorveglianza persistente dei flussi informativi.
- La cooperazione tra compagnie private e servizi di intelligence è cruciale. GNV ha individuato l’anomalia e ha segnalato. Questo ha fatto la differenza.
- La narrazione pubblica degli incidenti di sicurezza è essa stessa un campo di battaglia. Distinguere l’analisi dalla propaganda – da qualunque parte provenga – è il primo dovere di chi si occupa di questi temi.
- L’uso di “agenti occasionali” a basso costo e alta sacrificabilità è il nuovo standard delle operazioni coperte. Aspettiamoci di vederne altri.
La prossima volta che leggerete di una “nave hackerata”, chiedetevi: cosa avrebbe davvero senso fare con quell’accesso? La risposta, quasi sempre, non è nei titoli dei giornali.
L’articolo Fantastic: non cercavano il timone, cercavano i passeggeri. Cosa c’è dietro l’operazione di intelligence che ha allarmato mezza Europa proviene da Difesa Online.
Perché la tesi del “dirottamento remoto” non regge, e cosa ci dice il malware scoperto sulla vera natura dell’operazione Il…
L’articolo Fantastic: non cercavano il timone, cercavano i passeggeri. Cosa c’è dietro l’operazione di intelligence che ha allarmato mezza Europa proviene da Difesa Online.
Per approfondimenti consulta la fonte
Go to Source
