Il Consiglio UE sanziona tre entità e due individui per cyber-attacchi contro gli Stati membri
Il 16 marzo 2026 il Consiglio dell’Unione europea ha adottato misure restrittive nei confronti di tre entità e due persone fisiche ritenute responsabili di cyber-attacchi condotti contro Stati membri dell’UE e loro partner. La decisione si fonda sul regime orizzontale di sanzioni informatiche istituito nel maggio 2019 (Regolamento UE 2019/796 e Decisione PESC 2019/797) e si inscrive nel più ampio quadro del cyber diplomacy toolbox elaborato dall’Unione nel giugno 2017.
Gli atti giuridici adottati oggi — la Decisione (PESC) 2026/588 e il Regolamento di esecuzione (UE) 2026/589 — sono stati pubblicati nella Gazzetta Ufficiale dell’Unione europea. Con i nuovi inserimenti, il regime sanzionatorio ora si applica complessivamente a 19 individui e 7 entità.
Le entità sanzionate
Integrity Technology Group è una società con sede in Cina che, secondo il Consiglio, ha fornito in modo sistematico prodotti utilizzati per compromettere e accedere a dispositivi in più Stati membri, in Europa e in tutto il mondo. Tra il 2022 e il 2023, attraverso il supporto tecnico e materiale fornito dall’azienda, sono stati violati oltre 65.000 dispositivi in sei Stati membri. Va segnalato che Integrity Tech era già stata sanzionata in precedenza dagli Stati Uniti e dal Regno Unito — quest’ultimo aveva documentato che la società controllava e gestiva una rete botnet composta da oltre 260.000 dispositivi compromessi a livello globale.
Anxun Information Technology (nota anche come i-Soon), anch’essa con sede in Cina, ha erogato servizi di hacking mirati alle infrastrutture critiche e alle funzioni essenziali degli Stati membri e di paesi terzi. I due individui cinesi inclusi nell’elenco oggi sono cofondatori della società e sono stati ritenuti responsabili o direttamente coinvolti nei cyber-attacchi che hanno colpito Stati membri dell’UE. Anche Anxun era già stata sanzionata da USA e UK per aver preso di mira oltre 80 sistemi informatici di enti governativi e del settore privato in tutto il mondo.
Emennet Pasargad, società iraniana già conosciuta con la denominazione Net Peygard Samavat Company, ha ottenuto accesso illecito a un database di abbonati francesi mettendone in vendita i contenuti sul dark web, ha compromesso pannelli pubblicitari per diffondere disinformazione durante i Giochi Olimpici di Parigi 2024 e ha violato un servizio SMS svedese, incidendo su un numero considerevole di cittadini europei. La società era già nota alle autorità statunitensi per la sua storia di operazioni di interferenza elettorale e per i legami documentati con il Corpo delle Guardie della Rivoluzione islamica (IRGC).
Le misure adottate
I soggetti inclusi nell’elenco sono sottoposti al congelamento dei fondi e delle risorse economiche. Ai cittadini e alle imprese dell’Unione è vietato mettere a disposizione fondi, attività finanziarie o risorse economiche nei loro confronti. Le persone fisiche sono inoltre soggette a un divieto di viaggio che impedisce loro di entrare o transitare nel territorio degli Stati membri.
Una valutazione
La decisione del Consiglio merita attenzione per almeno quattro ragioni.
La prima è di natura strutturale: le sanzioni cyber dell’UE operano su un doppio binario giuridico — il regime PESC e il regime del regolamento UE, ciascuno con i propri atti di attuazione. Questa architettura non è meramente formale: riflette la distinzione tra la dimensione intergovernativa della politica estera e le competenze proprie dell’Unione in materia di mercato interno e circolazione dei capitali.
La seconda considerazione riguarda la coordinazione con i partner internazionali. Le stesse entità erano già state sanzionate da USA e UK. Questo non è un dato secondario: segnala un allineamento sostanziale tra le democrazie occidentali nella risposta a minacce cyber di matrice statale o para-statale, anche in un contesto geopolitico che vede crescenti tensioni nei rapporti transatlantici su altri dossier.
La terza osservazione è giuridica e sistemica. Le sanzioni cyber dell’UE svolgono anche una funzione di attribution without formal state responsibility: consentono all’Unione di attribuire politicamente la responsabilità di un’attività illecita — anche quando questa è riconducibile a strutture para-statali o a imprese private che operano nell’orbita di un governo — senza dover attivare i meccanismi della responsabilità internazionale dello Stato in senso proprio. È un profilo giuridico raffinato, che distingue questo strumento dalla risposta diplomatica classica e che pochi commentatori evidenziano.
La quarta dimensione è quella del segnale normativo internazionale. Le sanzioni non sono solo uno strumento di risposta bilaterale: contribuiscono alla costruzione di norme comportamentali nello spazio cyber, sostenendo il processo in corso in sede ONU — sia nel quadro del Gruppo di esperti governativi (GGE) sia nel processo Open-Ended Working Group (OEWG) — per la definizione di standard applicabili al diritto internazionale nel ciberspazio. Ogni atto di attribuzione pubblica e sanzionatoria concorre a consolidare l’idea che le norme internazionali esistenti si applichino anche alle attività statali nel dominio cyber.
Rimane aperta, tuttavia, una questione di effettività: le misure restrittive sono strumenti di deterrenza e di attribuzione politica della responsabilità, non meccanismi di esecuzione forzata. La loro utilità va misurata soprattutto sul piano del segnale politico e della costruzione di una norma internazionale condivisa, più che su quello della prevenzione immediata.
L’espansione progressiva del regime di sanzioni cyber segnala come la sicurezza digitale stia assumendo una dimensione strutturale nella politica estera dell’Unione, affiancando e completando gli strumenti normativi interni: la Direttiva NIS2, il Cyber Resilience Act e il futuro Cyber Solidarity Act. Il perimetro esterno e quello interno della sicurezza digitale europea tendono sempre più a convergere in un unico disegno di governance.