In un’operazione che conferma la crescente sofisticazione della minaccia cyber proveniente da attori legati a stati nazionali, le autorità polacche hanno arrestato un cittadino russo sospettato di aver condotto una serie di intrusioni non autorizzate nei sistemi informatici di organizzazioni locali. L’arresto, avvenuto il 16 novembre 2025 per mano della Centralna Biuro do Zwalczania Cyberprzestępczości (CBZC) – l’ufficio centrale per il contrasto alla criminalità informatica – sotto la procura distrettuale di Cracovia, rappresenta un punto di svolta nelle indagini su attacchi mirati a imprese polacche ed europee.
Secondo le ricostruzioni investigative, l’individuo – la cui identità non è stata ancora divulgata – avrebbe illegalmente varcato i confini polacchi nel 2022, ottenendo poi lo status di rifugiato nel 2023. Un dettaglio che solleva interrogativi non solo sulla sua reale identità, ma anche sulle possibili connessioni con gruppi di cybercriminalità organizzata o con apparati di stato. Non si tratta del classico script kiddie: l’attore in questione ha dimostrato capacità tecniche non banali, orientate a violare sistemi IT con precisione chirurgica.
L’operazione ha preso di mira, tra gli altri, un e-commerce locale. L’intrusione ha permesso al sospetto di accedere a database sensibili, manipolandone la struttura e potenzialmente esfiltrando informazioni riservate. Non siamo di fronte a un attacco “spray and pray”, ma a un’azione mirata che suggerisce una raccolta intelligence di medio-alto livello. La compromissione di un’infrastruttura commerciale, per quanto piccola, può avere ripercussioni a catena su intere filiere, soprattutto se l’obiettivo era testare vulnerabilità da sfruttare in contesti più ampi.
Dopo l’interrogatorio e la formalizzazione delle accuse, la procura ha chiesto – e ottenuto – la custodia cautelare per tre mesi. Il tribunale distrettuale di Cracovia-Śródmieście ha accolto la richiesta, segnale che le autorità ritengono l’individuo pericoloso e potenzialmente in grado di fuggire o di danneggiare ulteriori sistemi. Non è escluso che il sospetto faccia parte di una rete più ampia, ancora attiva sul territorio polacco e europeo.
Le implicazioni di questo caso vanno oltre il singolo arresto. La Polonia, da anni nel mirino di gruppi hacker legati a Mosca, sta intensificando le sue capacità di risposta alle minacce informatiche. L’azione della CBZC dimostra una maturità operativa crescente, anche nella cooperazione internazionale. Non si tratta solo di “catturare il cattivo”, ma di ricostruire la catena del valore dell’attacco: dagli strumenti utilizzati, alle infrastrutture di comando e controllo, fino ai possibili beneficiari finali dei dati trafugati.
Dal punto di vista tecnico, l’assenza di dettagli pubblici sulle tecniche di intrusione lascia spazio a diverse ipotesi. Potremmo essere di fronte a un attacco di tipo supply chain, allo sfruttamento di vulnerabilità zero-day in software comuni, o all’uso di credenziali rubate o comprate nel dark web. Quel che è certo è che la capacità di manipolare la struttura di un database richiede non solo competenze di penetration testing, ma anche una conoscenza approfondita degli ambienti colpiti.
Questo arresto arriva in un momento di forte tensione geopolitica, in cui la guerra ibrida si combatte sempre più spesso nel cyberspazio. La Polonia, membro della NATO e frontiera orientale dell’Unione Europea, è un bersaglio strategico. Colpire le sue imprese significa testare la resilienza digitale dell’intera alleanza atlantica.
L’arresto di Cracovia è un segnale importante: anche nel cyberspazio, chi sbaglia paga. Ma la partita è ancora lunga.