Nessuno da infiltrare
Come il terrorismo solitario ha reso obsoleti gli strumenti che avevamo costruito per combatterlo
Nota bene: il testo è stato scritto quando le motivazioni del gesto erano ancora ignote. Comunque, il caso di Modena è solo un'ancora di cronaca per parlare dell'azione solitaria e di come risulti complesso prevenirla.
A Modena, il 16 maggio, un trentunenne italiano di seconda generazione, incensurato, la cui matrice è ancora sotto accertamento al momento in cui si scrive, ha lanciato un’auto sulla folla in pieno centro, ferendo sette persone, due delle quali in modo gravissimo. La forma dell’atto, il metodo, il bersaglio, il comportamento successivo disegnano un profilo che l’Europa conosce bene da quasi un decennio: l’attore solitario, il lupo senza branco, la minaccia che i sistemi di sicurezza tradizionali non riescono a intercettare perché progettati per combattere qualcosa di diverso.
Devo ammettere che l’esperimento della divulgazione finanziata con donazioni volontarie non sta funzionando. Ci provo ancora un po’, poi vediamo.
Il terrorismo non è un fenomeno unitario, e trattarlo come tale produce errori di analisi che diventano errori di politica: le contromisure efficaci contro una forma sono spesso inutili, talvolta controproducenti, contro un’altra. Il terrorismo organizzato, quello che ha dominato il secondo Novecento, si basava su strutture gerarchiche, finanziamento stabile, catene di comando, pianificazione prolungata. Brigate Rosse, IRA, Al-Qaeda nella sua fase classica erano strutture che per esistere dovevano comunicare, reclutare, addestrarsi, muovere denaro, e che nell’eseguire queste operazioni lasciavano tracce. Tracce che l’intelligence sa cercare, perché infiltrazione, sorveglianza delle reti e monitoraggio finanziario sono stati sviluppati precisamente per questo bersaglio. Diverso è il terrorismo ispirato con coordinamento remoto, dove un’organizzazione fornisce ideologia e a volte un contatto occasionale, ma l’esecutore agisce autonomamente sul piano operativo. Solingen, agosto 2024: il perpetratore era in contatto via messaggistica con un membro dell’IS (lo Stato Islamico) solo dall’inizio di quel mese, e solo quell’attacco, tra i ventiquattro jihadisti registrati nell’Unione Europea nel 2024, fu rivendicato dall’organizzazione.
La terza categoria, la più difficile da contrastare, è il terrorismo senza alcun contatto organizzativo: un individuo assorbe una narrativa, interiorizza una logica della violenza e alla fine agisce, spesso senza che nessuno lo abbia mai incontrato di persona. In questo spazio, che non ha rete e non ha gerarchia, si colloca la maggioranza degli episodi europei recenti e, con ogni probabilità, anche quanto accaduto a Modena.
I numeri del TE-SAT 2025, il rapporto annuale di Europol sulla situazione e le tendenze del terrorismo nell’Unione Europea, riferito ai dati del 2024, sono chiari. Su cinquantotto attacchi terroristici registrati nei ventisette Stati membri, ventiquattro sono attribuiti al jihadismo. Di questi, sei sono stati portati a termine. Tutti e sei sono stati eseguiti da attori solitari, nessuno diretto o istruito da un’organizzazione terroristica. Le armi usate: coltelli, un ordigno incendiario rudimentale. Niente che richieda una rete logistica, un finanziamento, un addestramento. L’Italia, con venti episodi totali, è il paese europeo con il numero più alto di attacchi registrati nel 2024, sebbene la maggioranza appartenga alla categoria anarchica e di sinistra. Sul fronte jihadista, quattordici arresti, in linea con gli anni precedenti. Il profilo degli arrestati è sempre più giovane: più di un terzo dei fermati per terrorismo jihadista nell’UE nel 2024 aveva meno di vent’anni, sessantadue erano minorenni tra i tredici e i diciassette anni, e il fermato più giovane aveva dodici anni.
Quell’abbassamento dell’età segnala qualcosa di preciso: la rottura del processo di estremizzazione tradizionale, che richiedeva tempo, contatti fisici, frequentazione di ambienti, esposizione a figure carismatiche. Nel 2002 ci volevano in media sedici mesi dall’esposizione al materiale estremista all’esecuzione di un attacco, secondo i dati dell’Institute for Economics and Peace. Oggi quel tempo si è compresso drasticamente. La radicalizzazione avviene online, in reti private senza strutture gerarchiche apparenti, in interazione con individui geograficamente dispersi. Europol descrive questi giovani come soggetti che si radicalizzano “in reti private online prive di strutture gerarchiche apparenti, con elevata consapevolezza di sicurezza e anonimizzazione nell’uso dell’ambiente digitale.” Sanno come non lasciare tracce, e spesso non ne lasciano.
Su questo quadro già complesso, la Relazione annuale sulla politica dell’informazione per la sicurezza del 2026, redatta dal DIS (Dipartimento delle Informazioni per la Sicurezza) e riferita all’anno 2025, innesta un elemento che cambia la natura del problema. L’intelligenza artificiale generativa non è più soltanto uno strumento di amplificazione della propaganda estremista: è diventata essa stessa un meccanismo di reclutamento autonomo, capace di operare senza supervisione umana e senza i vincoli logistici che hanno sempre reso vulnerabili le organizzazioni terroristiche tradizionali. Il meccanismo non parte dall’esposizione diretta ai contenuti più estremi: costruisce invece un percorso progressivo, adattando i materiali alle reazioni dell’utente e intensificando l’esposizione man mano che la resistenza si abbassa. La Relazione DIS descrive questa dinamica come “propaganda adattiva”: gli algoritmi analizzano enormi quantità di dati provenienti da social media, forum, piattaforme di gioco online e dark web per identificare i soggetti più vulnerabili, poi modellano l’interazione sulle specifiche fragilità di ciascuno. Il risultato è un percorso di radicalizzazione personalizzato che può avvenire “senza la necessità di un reclutatore umano” e “senza soluzione di continuità, ventiquattro ore su ventiquattro.” Un algoritmo non ha domicilio né identità anagrafica, non attraversa frontiere e non può essere espulso: sfugge strutturalmente agli strumenti di contrasto che presuppongono un soggetto fisico identificabile.
Nell’agosto 2025, un diciottenne svedese, ideologicamente vicino a DAESH (denominazione araba dello Stato Islamico), è stato arrestato mentre pianificava un attacco al festival della cultura di Stoccolma. L’obiettivo era stato selezionato interrogando un chatbot: il giovane aveva descritto il tipo di evento che voleva colpire e il sistema aveva risposto indicando il festival come bersaglio ad alta visibilità e bassa protezione. Non c’era stato contatto con nessun militante, nessun viaggio in zone di conflitto, nessun passaggio di denaro. Il caso è documentato nella Relazione DIS 2026 ed è, per quanto è dato sapere, il primo esempio in una fonte primaria italiana di un attacco pianificato con assistenza diretta di intelligenza artificiale. In Italia, lo stesso documento segnala casi di soggetti minorenni che, tramite motori di ricerca basati sull’IA, effettuavano ricerche per costruire ordigni esplosivi rudimentali: non giovani già radicalizzati che cercavano istruzioni, ma soggetti nel mezzo del processo di estremizzazione, guidati da sistemi automatizzati verso contenuti sempre più operativi.
Da qui il problema della prevenzione, che è strutturale prima che operativo. Secondo l’Institute for Economics and Peace, il 93% degli attacchi terroristici letali avvenuti in Occidente negli ultimi cinque anni è stato perpetrato da attori solitari, e in una quota significativa di quei casi non era stato prodotto alcun segnale intercettabile prima dell’atto. Distinguere, nella massa di individui che ogni giorno accedono a contenuti estremisti online, quelli che potrebbero agire da quelli che non lo faranno mai, è nei fatti impossibile con gli strumenti attuali. Il profilo online dell’attaccante fornisce indizi sulla motivazione soltanto dopo l’attacco, per stringere l’accerchiamento investigativo sul responsabile. Un incensurato di trentun anni, senza appartenenza a organizzazioni note, senza contatti documentati con reti estremiste, non produce il tipo di segnale che i sistemi di allerta sono progettati per rilevare.
La risposta istituzionale ha finora percorso due strade, entrambe parziali. La messa in sicurezza fisica degli spazi pubblici, il cosiddetto hardening urbano, ha prodotto barriere anti-veicolo, controllo degli accessi alle aree pedonali ad alta densità, modifiche architettoniche che dopo Nizza 2016 hanno trasformato il paesaggio di molte piazze europee. Nizza fu l’attacco più letale di questo tipo nella storia recente del continente: un camion percorse quasi due chilometri sulla Promenade des Anglais uccidendo ottantasei persone. L’hardening riduce il numero di vittime potenziali e complica la logistica dell’attacco, ma non lo impedisce, come confermano i ventisette attacchi con veicolo registrati nel mondo tra novembre 2024 e luglio 2025, con settantasei vittime in nove mesi, secondo il Mineta Transportation Institute. L’altra strada è la prevenzione della radicalizzazione, il contrasto alla deriva estremista violenta (counter violent extremism nella letteratura anglosassone): programmi di deradicalizzazione, monitoraggio delle comunità, formazione degli operatori sociali ed educativi. Questi programmi reggono quando la radicalizzazione avviene attraverso canali identificabili, ambienti fisici, figure di riferimento che possono essere monitorate. Quando invece avviene in reti online anonime, potenziate da algoritmi che costruiscono percorsi personalizzati di indottrinamento senza lasciare tracce osservabili dall’esterno, il margine di intervento si assottiglia fino a diventare quasi teorico. La sorveglianza di massa delle comunicazioni digitali viene spesso proposta come soluzione di riserva, ma si scontra con un ostacolo che Europol segnala esplicitamente: i giovani radicalizzati mostrano “elevata consapevolezza di sicurezza nell’uso del digitale”, usano piattaforme con cifratura integrale e tecniche di offuscamento che rendono cieca anche la sorveglianza più capillare.
Sul piano normativo, il vuoto è ben definito e finora non colmato. Il Regolamento europeo sull’intelligenza artificiale (AI Act, Regolamento UE 2024/1689, entrato in vigore nell’agosto 2024) classifica i sistemi di IA in base al rischio che presentano per i diritti fondamentali e la sicurezza, e vieta alcune applicazioni considerate inaccettabili. Ma il profilo specifico della radicalizzazione automatizzata, ossia l’uso di sistemi generativi per guidare individui verso l’estremismo violento attraverso interazioni personalizzate e progressive, non rientra tra le categorie esplicitamente regolate. L’AI Act non contempla questo vettore di rischio perché al momento della sua redazione il fenomeno era ancora emergente e scarsamente documentato. Il DIS italiano lo ha portato all’attenzione del Parlamento nella relazione del 2026. Sul piano europeo non esiste ancora una proposta normativa specifica, e il ritardo ha conseguenze concrete: i sistemi di reclutamento automatizzato operano nel frattempo in assenza di qualsiasi vincolo legale, e ogni settimana di stasi normativa è una settimana in più di operatività non regolata.
Devo ammettere che l’esperimento della divulgazione finanziata con donazioni volontarie non sta funzionando. Ci provo ancora un po’, poi vediamo.
Restano alcune cose che lo Stato può fare, e che non sta facendo abbastanza. La messa in sicurezza fisica degli spazi pubblici ad alta densità non previene gli attacchi ma ne limita l’impatto: a Modena quella protezione mancava, e la differenza tra una barriera presente e una assente si misura in vite. Costruire sistemi di allerta precoce che integrino segnalazioni provenienti dalle comunità, dai servizi sociali, dalla scuola, dalla sanità mentale è la misura con il maggiore potenziale residuo, perché la radicalizzazione dell’attore solitario lascia spesso tracce nelle interazioni quotidiane anche quando non ne lascia in quelle digitali: un insegnante, un medico di base, un operatore sociale che riconosce un segnale e sa a chi riportarlo vale più di qualsiasi sistema di sorveglianza digitale di massa. Nessuna di queste misure è sufficiente da sola, e nessuna lo sarà mai del tutto. Ma l’alternativa, che è non farle, ha un costo che Modena ha reso visibile.
Un attore solitario radicalizzato in silenzio attraverso canali anonimi non è intercettabile con gli strumenti che oggi abbiamo. A Modena la prima linea di difesa era un passante con la testa sanguinante. È una condizione che lo Stato fatica ad ammettere pubblicamente, perché non ammette risposte rassicuranti.
Fonti: EU TE-SAT 2025 (Europol, dati 2024); Relazione annuale sulla politica dell’informazione per la sicurezza 2026 (DIS, dati 2025); Institute for Economics and Peace, Lone Wolf and Youth Terrorism: Evolving Patterns of Terrorism and Radicalisation in Western Democracies, marzo 2025; Mineta Transportation Institute, Update on Vehicle Rammings: Attackers, Frequency, Lethality, and Mitigation Measures, settembre 2025; Regolamento UE 2024/1689 (AI Act).
A me pare che Tutto ciò si leghi a un tema - e ad un rischio - più ampi: la sicurezza, la riproducibilità e l’affidabilità, delle fonti e delle risposte delle piattaforme AI.
Entro quali limiti possiamo fidarci di piattaforme gestite da terzi che stanno diventando sempre più pervasive?
Quali sono le azioni che dovremmo mettere in campo per garantire quantomeno che le fonti utilizzate per generare risposte siano affidabili (ammesso e non concesso che troviamo un accordo su cosa e chi sia affidabile).
Più in generale, as always, la domanda è quale sia il confine tra libertà personale e sicurezza pubblica…
La domanda è sempre quella, ma attack surface e blast radius crescono quadraticamente col numero dei nodi.
Grazie di questo recap con approfondimento: poi alla fine che il tipo sia un terrorista solitario o un poveraccio malato poco importa perchè quanto da Lei sottolineato vale lo stesso in generale.
Invece volevo analizzare meglio un particolare che Lei ha sorvolato circa le persone che sono intervenute, la prima linea di difesa, come ha detto.
Luca Signorelli, un eroe abbracciato dalla Meloni (strano che non sia indagato per aggressione, colle leggi che abbiamo eh eh scherzo). Ma nessun politico ha nominato/ringraziato anche i due egiziani corsi subito in aiuto a Luca. Perchè? Senza di loro Luca sarebbe a fettine. Io questo dettaglio lo considero un bias informativo politicamente volontario.
Che ne pensa?