Il rapporto trimestrale pubblicato dal Google Threat Intelligence Group il 12 febbraio 2026, a poche ore dalla Munich Security Conference, ha rivelato come attori statali appartenenti a Cina, Russia, Iran e Corea del Nord abbiano sistematicamente integrato il modello linguistico Gemini nelle proprie operazioni offensive. I grandi modelli linguistici commerciali non sono più solo bersagli da attaccare o strumenti da neutralizzare, ma infrastrutture doppio uso che amplificano la capacità offensiva degli Stati, sfidando le attuali architetture di governance dell’AI e ponendoci di fronte a una trasformazione qualitativa del panorama delle minacce ibride.
Il 12 febbraio 2026, a breve distanza dall’apertura della Munich Security Conference (MSC), Google ha pubblicato l’aggiornamento trimestrale del proprio AI Threat Tracker, redatto dal Google Threat Intelligence Group (GTIG) in collaborazione con Google DeepMind. Il documento certifica che gruppi di minaccia persistente avanzata (APT) legati ai governi di Cina, Iran, Corea del Nord e Russia hanno impiegato Gemini, il principale modello linguistico di Google, come strumento di supporto operativo nelle proprie campagne di spionaggio, sabotaggio e influence operation. Non si tratta di un attacco informatico nel senso tradizionale del termine né di una vulnerabilità tecnica nel sistema ma dell’appropriazione di una tecnologia civile e commerciale a fini militari e paramilitari da parte di apparati statali, in un contesto normativo che non ha ancora sviluppato strumenti adeguati per fronteggiare questa evenienza.
La coincidenza con la MSC non è un dettaglio marginale, avendo essa stessa collocato il tema della governance dell’intelligenza artificiale al centro del dibattito sulla sicurezza, in un momento in cui il divario tra velocità di innovazione tecnologica e capacità regolatoria degli Stati è ai massimi storici. Il report GTIG va letto, in questo senso, come un documento politico prima ancora che tecnico che può aiutare a fotografare lo stato attuale dell’integrazione dell’AI nelle strategie di conflittualità ibrida.
Il CRINK e Gemini: anatomia di uno sfruttamento sistematico
Classificando le attività rilevate per attore statale e per fase del ciclo di attacco, il GTIG fa emergere quattro modalità principali di utilizzo: ricognizione e profilazione dei bersagli, ingegneria sociale avanzata, sviluppo e ottimizzazione del codice malevolo, e operazioni di influenza e disinformazione. Nessuna di queste attività rappresenta una novità assoluta nel repertorio dei gruppi APT ma Gemini permette di eseguirle con una velocità e un livello di personalizzazione prima inaccessibili.
Sul fronte cinese, il GTIG ha documentato l’impiego di Gemini da parte di almeno due gruppi distinti. Se APT31 (noto anche come Judgment Panda) ha costruito scenari fittizi per richiedere al modello analisi automatizzate di vulnerabilità, generando piani di test mirati contro specifici obiettivi statunitensi che includevano tecniche di Remote Code Execution, bypass di Web Application Firewall e SQL injection, APT41 ha invece utilizzato Gemini con regolarità settimanale per il debug del proprio codice e per la ricerca su specifici tipi di vulnerabilità.
Diverso l’approccio del gruppo iraniano APT42 (tracciato anche come Charming Kitten e Mint Sandstorm), che ha sfruttato Gemini principalmente per rafforzare le proprie campagne di spear phishing, per cui gli operatori fornivano al modello la biografia di un bersaglio e richiedevano di conseguenza la costruzione di una persona credibile con cui avviare una conversazione di avvicinamento.
Il gruppo nord-coreano UNC2970, sovrapponibile per tattiche e obiettivi con il celebre Lazarus Group, si è concentrato invece sulla profilazione di bersagli ad alto valore nel settore della difesa e della cybersecurity. Secondo il GTIG, il gruppo ha utilizzato Gemini per sintetizzare intelligence open source (OSINT) su aziende della difesa, mappare ruoli tecnici specifici all’interno delle organizzazioni e raccogliere informazioni sui pacchetti retributivi, tutte informazioni funzionali alla costruzione di false offerte di lavoro nella nota Operation Dream Job. Il punto critico è che questa attività risulta quasi indistinguibile da una normale ricerca professionale, rendendo il rilevamento difficile da portare a termine.
La Russia, pur presente nel report, risulta meno documentata rispetto alle altre potenze, pur rimanendo coinvolta soprattutto in operazioni di disinformazione e propaganda in più lingue.
Oltre l’abuso: quando l’IA diventa parte dell’arma
Accanto all’impiego di Gemini come strumento di supporto per ricercare informazioni, costruire messaggi o scrivere codice, il GTIG ha documentato una categoria di minacce qualitativamente diversa in cui l’intelligenza artificiale non è più l’assistente dell’attaccante ma è un componente strutturale dell’arma stessa. Il caso più famoso è HONESTCUE, un malware identificato nel settembre 2025 che anziché contenere al proprio interno il codice malevolo lo richiede a Gemini in tempo reale, ogni volta che deve agire. Nella pratica il malware stabilisce una connessione con il modello linguistico, gli descrive cosa deve fare, ottiene le istruzioni e le esegue immediatamente senza lasciare traccia permanente sul dispositivo infettato.
Vi sono poi i cosiddetti model extraction attack, che il GTIG definisce distillation attack, che non utilizzano Gemini per condurre l’attacco ma ne copiano le capacità per costruire un modello alternativo, privato e privo di qualsiasi limitazione etica. La tecnica è quella di sottoporre il modello a decine di migliaia di domande, raccogliere le conseguenti risposte e usarle per addestrare un sistema parallelo che replichi il ragionamento di Gemini ma senza i filtri di sicurezza in suo possesso. Google DeepMind ha documentato un’operazione di questo tipo che ha impiegato oltre 100.000 prompt mirati, con l’obiettivo dichiarato di replicare le capacità del modello in lingue differenti dall’inglese, dettaglio che suggerisce un interesse operativo verso bersagli non anglofoni. Il risultato sarebbe, nelle intenzioni di chi conduce questo tipo di attacco, un LLM ad alte prestazioni disponibile esclusivamente per operazioni offensive senza alcun vincolo.
Il doppiouso dell’IA generativa: un problema di governance senza soluzione consolidata
Secondo quanto dichiarato, gli analisti non hanno ancora osservato capacità di breakthrough da parte degli APT. Gemini non ha reso gli attori statali incontrastabili e non ha nemmeno risolto i loro problemi strutturali, ha solo ottimizzato numerose attività offensive come la profilazione di un bersaglio, la costruzione un pretesto convincente o la creazione di contenuti di disinformazione personalizzati in più lingue, estendendo delle capacità operative a chi prima non avrebbe avuto i mezzi per farlo.
Il problema del doppio uso degli LLM (Large Language Model) è quindi categoricamente diverso da quello delle armi convenzionali in quanto Gemini è progettato per essere utile, ma non esiste versione di quella utilità che non possa essere reindirizzata: la stessa funzione che permette a un analista di sicurezza di valutare la robustezza di un sistema permette a un operatore APT di cercarne i punti deboli e la stessa tecnica OSINT che serve a un giornalista può servire a un gruppo di spionaggio per costruire un dossier su un funzionario. Questa indistinguibilità funzionale di fondo mette in crisi le categorie con cui il controllo degli armamenti ha storicamente affrontato il problema della proliferazione delle tecnologie a doppio uso.
Ne consegue che i guardrail integrati nei modelli commerciali, che dovrebbero impedire degli usi malevoli, non sono e non possono essere una soluzione sufficiente non perchè siano mal progettati, ma perchè chi li vuole aggirare può farlo in diversi modi, anche semplicemente costruendo un modello alternativo tramite una copia delle risposte di Gemini su larga scala, come documentato nel caso dei distillation attack.
Rimane per il momento aperta la questione della responsabilità quando un modello linguistico commerciale viene impiegato da uno stato per condurre ricognizione su infrastrutture critiche, una risposta che nessun trattato internazionale vigente, nemmeno nel quadro del diritto internazionale cibernetico sviluppato dal Gruppo di esperti governativi delle Nazioni Unite (UN GGE), contempla.
Implicazioni per la sicurezza europea e italiana
Per l’Europa e per l’Italia le implicazioni del report sono importanti in particolar modo sul piano operativo, essendo le tecniche di profilazione documentate dal GTIG direttamente applicabili a obiettivi europei: il comparto industriale della difesa nazionale e le istituzioni governative rientrano esattamente nella tipologia di bersagli che i gruppi APT documentati nel report hanno storicamente preso di mira. L’integrazione di Gemini in questi flussi operativi riduce quindi le barriere di accesso, estendendo queste capacità ad attori con competenze tecniche inferiori.
Quel che il caso di Gemini mostra, in definitiva, è che la distinzione tra IA civile e IA militare è destinata a rivelarsi progressivamente illusoria. I grandi modelli linguistici sono infrastrutture dual-use per definizione, e la loro diffusione globale li rende vettori di accelerazione per qualunque attore che abbia la motivazione e le competenze minime per sfruttarli. La risposta adeguata non può essere una chiusura dei modelli e nemmeno la loro liberalizzazione totale, ma si dovrebbe forse puntare a dei meccanismi istituzionali capaci di muoversi alla velocità dell’innovazione che intendono governare.
