540 incidenti, 10.500 canali, l’intelligenza artificiale sempre più centrale.
Il quarto rapporto EEAS fotografa una guerra che si combatte ogni giorno e propone come vincerla.
Ogni giorno, mentre scorriamo i social media, leggiamo notizie e formiamo le nostre opinioni politiche, qualcuno sta lavorando per condizionare quello che pensiamo. Non è fantascienza, non è paranoia. È documentato dal quarto rapporto annuale dell’EEAS, il Servizio europeo per l’azione esterna, ovvero la diplomazia dell’Unione europea, pubblicato a marzo 2026, descrive come funziona questa guerra invisibile.
E propone come vincerla.
Cos’è il FIMI e perché non è “solo” disinformazione
Gli esperti usano l’acronimo FIMI, che sta per Foreign Information Manipulation and Interference, ovvero Manipolazione e Interferenza Straniera nelle Informazioni. È una categoria più precisa e più grave di quello che chiamiamo “disinformazione”.
Le interferenze straniere sono deliberate, coordinate e finanziate da stati stranieri con obiettivi strategici precisi. Chi lo organizza sa cosa vuole ottenere, indebolire un governo, dividere una società, condizionare un’elezione, ridurre il sostegno internazionale a un paese in guerra, e costruisce le proprie operazioni di conseguenza.
La definizione ufficiale dell’EEAS descrive il FIMI come un comportamento che «minaccia o ha il potenziale di impattare negativamente su valori, procedure e processi politici», condotto in modo «intenzionale e coordinato, da parte di attori statali o non statali, compresi i loro intermediari». La parola chiave è intermediari: gli stati che organizzano queste operazioni raramente le eseguono direttamente. Si affidano a reti di soggetti terzi (agenzie di comunicazione, influencer pagati, siti di notizie costruiti ad hoc) che permettono di mantenere quella che nel gergo tecnico si chiama “plausible deniability”, la possibilità di negare il proprio coinvolgimento.
Nel corso del 2025, l’EEAS ha identificato 540 incidenti FIMI a livello globale, coinvolgendo 10.500 canali unici, siti web, account social, canali Telegram, blog, che hanno prodotto o amplificato contenuti manipolativi. In totale, sono stati registrati circa 43.000 osservabili, distribuiti su 19 piattaforme diverse.
Oltre 100 paesi nel mondo sono stati colpiti da operazioni FIMI nel 2025. All’interno del perimetro di monitoraggio dell’EEAS, i bersagli principali sono stati l’Ucraina con 112 incidenti, la Francia con 107, la Moldavia con 94, la Germania con 71, gli Stati Uniti con 51. Più in basso figurano Polonia (17), Armenia (18), Belgio (16), Romania (14), Siria (15), Giappone (13) e Costa d’Avorio
(13). L’Italia compare con 11 incidenti, un numero che non deve far abbassare la guardia, considerando che riflette solo ciò che rientra nel perimetro EEAS.
Non vengono colpiti solo i paesi. Circa 200 organizzazioni diverse sono state prese di mira: forze armate, agenzie di intelligence, media indipendenti, università, ONG, persino la NATO. E circa 140 individui, nella grande maggioranza capi di stato e figure politiche, sono stati oggetto di campagne di attacco personale. Tra i nomi citati nel rapporto: Volodymyr Zelensky, Emmanuel Macron, Friedrich Merz, Ursula von der Leyen, Kaja Kallas, Maia Sandu e il primo ministro armeno Nikol Pashinyan.
Il 27% di tutti gli incidenti documentati nel 2025 ha coinvolto tecniche legate all’IA. In numeri assoluti, si è passati da 41 casi nel 2024 a 147 nel 2025: una crescita del 259% in un solo anno. L’intelligenza artificiale è ora integrata nelle operazioni FIMI russe e cinesi, usata in tre modi principali. Il primo è la creazione di contenuti in serie: testi, articoli e post generati in decine di lingue con modelli stilistici quasi identici. Le reti FIMI non mirano alla qualità ma alla quantità, con l’obiettivo di saturare lo spazio informativo con una presenza costante.
Il secondo è la produzione di audio e video sintetici. La clonazione vocale è diventata una pratica standard. Il rapporto cita il caso delle elezioni moldave del 2025, dove video generati con IA imitavano la voce della presidente Maia Sandu. Operazioni come Storm-1516 e Operation Overload hanno intensificato il ricorso a questi contenuti.
Il terzo utilizzo è il più insidioso: si chiama LLM grooming. I modelli linguistici come ChatGPT imparano da testi trovati su internet. Se quei testi includono narrazioni false presentate come fonti affidabili, il modello assorbirà quella contaminazione. La rete russa Portal Kombat è sospettata di condurre questo tipo di operazione, inondando internet di contenuti di bassa qualità in molte lingue per avvelenare i dati di addestramento dei modelli IA.
Il rapporto attribuisce il 29% degli incidenti alla Russia e il 6% alla Cina. Il restante 65% rimane non attribuito, ma presenta caratteristiche che lo collegano alle infrastrutture dei due paesi. Questa percentuale alta di casi non attribuiti riflette una scelta strategica: operare attraverso reti opache che rendono l’attribuzione difficile e politicamente controversa.
La Russia opera con una logica decentralizzata. Le sue campagne vengono modellate sui contesti locali di ciascun paese bersaglio: immigrazione in Germania, sentimenti anti-rifugiati in Polonia, timori sull’identità nazionale in Moldavia. L’obiettivo non è persuadere, ma dividere, amplificare le fratture già presenti nella società. Le infrastrutture più rilevanti includono Doppelgänger, operata dalle entità sanzionate dall’UE Social Design Agency (SDA) e Struktura, specializzata nell’impersonare media come Der Spiegel e Le Point; Storm-1516, che nel 2025 ha quasi raddoppiato il proprio output creando 453 siti web; Portal Kombat, che distribuisce circa 10.000 articoli al giorno su 101 siti; e la Russian Foundation to Battle Injustice (R-FBI), fondata dal defunto Yevgeny Prigozhin, lo stesso fondatore del Gruppo Wagner e della Internet Research
Agency. La Cina opera con una logica centralizzata e sincrona. Tutti i suoi canali vengono attivati simultaneamente sullo stesso tema. La tecnica prevalente è il dismissing, l’argomentazione che qualsiasi critica a Pechino sia distorta, accompagnata dalla promozione della Cina come partner affidabile per il Sud globale. Le infrastrutture principali includono Spamouflage, attiva su oltre 50 piattaforme; Paperwall, legata alla società Shenzhen Haimaiyunxiang Media (Haimai), che nel 2025 ha aggiunto 108 nuovi domini raggiungendo 40 nuovi paesi; HaiEnergy, collegata a Shanghai Haixun Technology; e Falsos Amigos, una rete di siti fasulli collegati al media statale CGTN.
Armenia: il prossimo bersaglio già annunciato
Uno dei contributi più preziosi del quarto rapporto è la sua capacità predittiva. Analizzando i pattern delle operazioni passate, l’EEAS identifica i prossimi bersagli con sufficiente anticipo.
Il caso dell’Armenia è emblematico. Nel 2025, mentre le operazioni contro la Moldavia raggiungevano il picco in ottobre, le stesse reti, Storm-1516 e Operation Overload, hanno spostato l’attenzione verso Yerevan, in vista delle elezioni parlamentari del giugno 2026. Il motivo è chiaro: l’Armenia ha approvato una legge che apre la strada all’adesione all’UE, ha avviato negoziati di pace con l’Azerbaijan senza Mosca e ha sospeso la partecipazione al Trattato di sicurezza collettiva russo (CSTO). Il Digital Forensic Research Lab (DFRLab) ha documentato questo trasferimento in un rapporto del dicembre 2025, “Kremlin-originated campaigns target Armenia with Ukrainization narrative”, citato nel quarto rapporto EEAS. Lo schema è identico a quello moldavo: delegittimazione del premier Pashinyan con accuse di corruzione, servitù agli interessi occidentali e minaccia alla sovranità nazionale.
Il FIMI Deterrence Playbook propone di agire su tre livelli. A livello delle strutture organizzative, lo strumento principale sono le sanzioni: l’UE ha già designato circa 150 individui ed entità, tra cui la Social Design Agency, Tigerweb e John Mark Dougan, ex poliziotto della Florida diventato operatore FIMI per il Cremlino. Nel 2025, durante l’Operazione SIMCARTEL, autorità europee hanno arrestato sette cybercriminali e smantellato una rete di 49 milioni di account falsi.
A livello di infrastruttura digitale, la risposta combina regolamentazione attraverso il Digital Services Act con la cooperazione con le piattaforme. Nel settembre 2025, TikTok ha rimosso oltre 13.000 account inauthentici attivi durante le elezioni moldave. Meta ha smantellato due campagne in Africa condotte per conto di attori russi. A livello di contenuti, Europol coordina dal 2015 le Referral Action Days, giornate di segnalazione massiva di contenuti illegali — mentre la costruzione della resilienza sociale passa per media literacy ed esposizione pubblica delle operazioni FIMI.
Quello che il quarto rapporto documenta, con numeri, nomi e reti, è che l’informazione è diventata un campo di battaglia reale, con conseguenze politiche concrete. La notizia parzialmente rassicurante è che questi attacchi hanno ancora un impatto organico limitato: Storm-1516 è l’unica rete che il rapporto considera capace di infiltrarsi nel dibattito pubblico. Ma questa finestra non durerà: man mano che le tecnologie di generazione del contenuto migliorano, la convenienza dei contenuti falsi crescerà. Il resto dipende dalla volontà politica di agire e dalla nostra capacità, come cittadini, di riconoscere la differenza tra un’opinione e un’operazione.
