Le radio delle spie e la cybersecurity moderna: dalle Number Stations alla Direttiva NIS2 e DORA

Nel 1989, in una cameretta torinese, un ricevitore a onde corte Yaesu intercettava voci sintetizzate che enunciavano lunghe sequenze di numeri, senza contesto e senza firma. Erano le cosiddette number stations: emittenti clandestine che per decenni hanno inviato messaggi cifrati a spie e operatori sul campo. A distanza di oltre trent'anni, mentre l'Unione Europea impone la Direttiva NIS2, si applicano i controlli ISO/IEC 27002:2022 e si introduce DORA per il settore finanziario, quelle trasmissioni appaiono meno "esotiche": anticipavano in modo rozzo ma efficace alcuni principi che oggi formalizziamo come sicurezza delle informazioni.

Vale la pena dirlo con chiarezza: le number stations non sono un curioso residuo della Guerra fredda, ma un laboratorio storico da cui la cybersecurity moderna ha ancora qualcosa da imparare.

Il podcast RAI "Numbers Stations - Le Radio delle Spie" ricostruisce la storia di queste trasmissioni enigmatiche, dalle origini alle operazioni contemporanee. Vale la pena di seguirne i cinque episodi.

Una storia tecnica prima ancora che romantica

Le number stations non erano "segrete" in senso radioelettrico. Trasmettevano in onde corte, in AM, con potenze paragonabili a emittenti come BBC o Radio France. Chiunque, con un ricevitore economico, poteva ascoltare quelle voci che leggevano serie numeriche. Il paradosso è solo apparente: la sicurezza non era nell'occultamento del canale ma nella cifratura del contenuto. La disponibilità del segnale era totale, la confidenzialità affidata interamente alle chiavi di cifratura.

La tecnologia di base è più antica della Guerra fredda. La radio di Marconi (fine XIX secolo) trova nella Prima guerra mondiale un impiego sistematico per messaggi codificati in radiotelegrafia. Nella Seconda guerra mondiale i messaggi cifrati via radio entrano nel lessico della memoria collettiva: Radio Londra con i messaggi alla Resistenza, i versi di Verlaine per annunciare lo sbarco in Normandia, Radio Bari dal 1943 con le comunicazioni in italiano.

Negli anni successivi, progetti come il "Connect Project, Recording of Shortwave Number Stations" (1997) iniziano a documentare sistematicamente le trasmissioni. Il sito curato da Simon Mason diventa un riferimento per gli ascoltatori. Prima ancora che un "mistero", le number stations sono un'infrastruttura: trasmettitori potenti, procedure standardizzate, chiavi distribuite offline.

Quando lo spionaggio entra nei tribunali

Il legame fra number stations e spionaggio non è un'ipotesi complottista: è documentato in diverse inchieste giudiziarie.

Il caso Cuban Five, rete di intelligence cubana smantellata a Miami nel 1998, mostra l'intero ciclo operativo: ricevitori portatili Sony per intercettare la stazione "Atención", trascrizione dei numeri, immissione dei codici in un computer Toshiba e decodifica tramite software dedicato. Già nel 1995 l'FBI, entrando clandestinamente nell'appartamento di uno degli agenti, aveva trovato ricevitori a onde corte e programmi di decifratura. È l'unico caso in cui un messaggio di number station risulta formalmente decriptato e utilizzato in sede giudiziaria.

Anna Belen Montes, analista della Defense Intelligence Agency arrestata a Washington nel 2001, conferma lo stesso schema: radio a onde corte, chiavi crittografiche fisiche, supporti cartacei idrosolubili per eliminare rapidamente le tracce. Un flusso stabile di informazioni verso il governo cubano anche dopo l'11 settembre.

Altri procedimenti - Carlos ed Elsa Alvarez (2006), Walter Kendall Myers (quasi trent'anni di contatti radio prima dell'accusa nel 2009), Heidrun e Andreas Hanslank in Germania (2011) ripetono il medesimo modello operativo. Anna Chapman, "Anna la rossa", arrestata a New York nel 2010, introduce un ibrido interessante: comunicazioni via onde corte e messaggi in codice incorporati in video caricati su YouTube. Qui l'innovazione è più nei canali che nei principi: il nodo resta sempre la gestione delle chiavi e delle procedure.

Dove i tribunali hanno avuto accesso a radio, software e chiavi hanno trovato number stations. Non folklore radioamatoriale ma una tecnica standard di comunicazione clandestina.

Number stations oggi: un fenomeno ancora vivo

Nel 2025 queste stazioni non sono scomparse. L'ascolto è più semplice: esistono comunità online, strumenti di registrazione, classificazioni condivise tra appassionati.

Dal 1993 il gruppo Enigma 2000 cataloga le stazioni attive. Una delle più studiate è E07 "The Englishman", che trasmette lunghe serie di numeri con voce sintetizzata in inglese con accento americano, attribuita alla sfera d'influenza russa. Varianti come S06 (russo), altre in spagnolo e francese, la riattivazione nel 2023 della versione tedesca G06 dopo oltre due anni di silenzio: lingue diverse, target diversi, fasce orarie e frequenze adattate a contesti geografici.

Queste scelte non hanno nulla di "romantico": indicano segmentazione del pubblico, gestione di "utenze" in modo non dissimile da come oggi si segmentano utenti e ambienti cloud.

Un oggetto culturale, non solo tecnico

Le number stations sono entrate anche nel patrimonio culturale contemporaneo. Il film "The Number Station" (2012) con John Cusack, la serie "Lost" con la sequenza 4–8–15–16–23–42, "Spooks" e videogiochi come "Call of Duty: Black Ops" hanno usato l'immaginario delle voci numeriche come segno di complotto. Nel dicembre 2005 la BBC Radio 2 ha dedicato una puntata alla loro storia e nel 2011 "Voyager" su Rai 2 ne ha amplificato la fama.

L'episodio più noto resta il messaggio del 15 marzo 2006 della stazione E10, attribuita al Mossad: un messaggio alfanumerico breve che, eliminando i numeri sequenziali da 1 a 8, lasciava la stringa "good night". L'interpretazione sentimentale del saluto ai radioamatori è discutibile. Il dato concreto è che si tratta di uno dei rarissimi casi in cui chi trasmette sembra deliberatamente lasciare una traccia decodificabile da chiunque.

Number stations e ISO/IEC 27002: analogie reali e limiti

ISO/IEC 27002:2022 offre linee guida per implementare i controlli di sicurezza dell'allegato A della norma ISO/IEC 27001. Non è stata scritta pensando alle spie, ma molti dei suoi principi descrivono ciò che le number stations già facevano. E soprattutto ciò che non riuscivano a fare.

Sul piano crittografico (controllo A 8.24) le number stations erano un'applicazione rigorosa della cifratura simmetrica con one-time pad: stessa chiave per mittente e destinatario, chiave monouso, distribuzione tramite canali fisici separati e distruzione dopo l'utilizzo. In teoria uno dei pochi schemi crittografici davvero a prova di calcolatore. Dal punto di vista della norma, un esempio quasi didattico di "politica crittografica" ben definita.

Qui però si vede il limite dell'analogia. La ISO/IEC 27002 insiste sulla gestione dell'intero ciclo di vita delle chiavi: generazione, distribuzione, archiviazione, rotazione, revoca. Le operazioni clandestine non possono permettersi processi complessi e tracciati. La distribuzione delle chiavi via corrieri diplomatici o agenti infiltrati riduce gli attori ma concentra il rischio. Quando una chiave viene compromessa non esiste meccanismo di revoca centralizzato; l'unica risposta è spesso la cessazione dell'operazione. Dal punto di vista della moderna governance della sicurezza, un modello fragile.

Per le comunicazioni (controlli A 8.20–8.23) la lezione è netta: la sicurezza non deriva dal nascondere il canale, ma dal progettare il contenuto per essere inutile senza il fattore segreto. Le number stations operano in un "internet dell'aria" primitivo dove la disponibilità del segnale è scontata e l'unico vero controllo è la crittografia. Questo approccio è tecnicamente corretto e resta valido. Ciò che manca, e che la norma richiede, è l'integrazione con log, monitoraggio, tracciamento degli accessi; elementi che per una spia aumenterebbero il rischio di compromettere l'anonimato operativo.

NIS2: quando l'intelligence diventa obbligo di legge

La Direttiva (UE) 2022/2555 (NIS2), recepita in Italia con il D.Lgs. 138/2024 ed entrata in vigore il 16 ottobre 2024, ha un obiettivo esplicito: imporre a una vasta gamma di organizzazioni operanti in 18 settori critici un livello minimo di gestione del rischio cyber. Il paragone con le number stations è utile se si accetta una tesi severa: NIS2 obbliga molte organizzazioni a fare, in modo tracciabile e verificabile, quello che i servizi di intelligence hanno fatto per decenni in modo informale, opaco e spesso non documentato.

Gli articoli 21 e 24 del decreto elencano misure di gestione del rischio che, tradotte sul terreno delle number stations, si riducono a tre assi: politica crittografica, procedure operative e accettazione esplicita del rischio residuo. Il rischio principale, intercettazione e eventuale decodifica, veniva mitigato con one-time pad e disciplina operativa. In cambio si accettava l'eventualità di una conseguenza devastante in caso di arresto o tradimento.

NIS2 al contrario pretende che i soggetti vigilati dimostrino di aver ridotto i rischi a un livello "accettabile" secondo criteri proporzionali, documentati e verificabili dall'esterno. È un salto culturale che molte organizzazioni non hanno ancora interiorizzato.

La direttiva insiste sulla crittografia come misura minima obbligatoria: non più opzionale, non più lasciata alla buona volontà dei singoli. Il messaggio è inequivocabile: chi gestisce dati e servizi critici senza uso sistematico della crittografia è inadempiente, non solo imprudente.

Supply chain, incidenti e responsabilità: dove le spie mostrano il lato debole

La gestione della supply chain (art. 24, comma 2, lett. d) è spesso presentata come una novità. In realtà, i servizi di intelligence hanno sempre saputo che ogni intermediario aggiunge un punto di vulnerabilità. Le number stations sceglievano una strada radicale: eliminare quasi tutti gli intermediari, mantenendo solo trasmettitore, ricevitore e vettore fisico delle chiavi. È un modello che massimizza la sicurezza ma non è replicabile per un ospedale, una banca o un fornitore cloud che dipendono da filiere complesse. L'errore sarebbe usare l'esempio delle spie per giustificare un rifiuto ideologico della dipendenza da terzi. NIS2 va nella direzione opposta: accettare la complessità e gestirla esplicitamente.

Gli obblighi di notifica degli incidenti (art. 25) formalizzano ciò che nelle operazioni clandestine era inammissibile: riconoscere l'incidente, descriverlo, comunicarlo al CSIRT Italia e imparare da esso. Nei casi Cuban Five e Montes, la catena crittografica è stata compromessa non per debolezza matematica ma per cattiva gestione di chiavi e dispositivi. NIS2 istituzionalizza la lezione: gli incidenti non sono solo un fallimento, sono un dato di lavoro che va reso visibile e condiviso.

L'art. 38, comma 6, introduce responsabilità personali degli organi di amministrazione: chi decide deve formarsi, approvare le misure, verificarne l'attuazione. Le number stations avevano catene di comando rigide ma opache e non responsabilizzate verso un soggetto terzo. Quando un'operazione falliva si cercavano capri espiatori, non si produceva vera accountability. In ambito NIS2 questo non è più accettabile: ignorare la sicurezza o delegarla senza controllo diventa, anche formalmente, una colpa.

La formazione (art. 23, comma 2, lett. a–b): le spie erano addestrate in modo intensivo a ricevere, trascrivere, decodificare e distruggere informazioni. Oggi molte organizzazioni considerano la formazione cyber un costo marginale, ridotto a corsi e-learning formali.

Chi tratta la formazione come una casella da spuntare tradisce lo spirito della direttiva e lascia il personale nella stessa posizione di un agente con la radio accesa ma senza addestramento.

DORA, CER e l'ossessione per la resilienza

NIS2 dialoga con altre normative europee. DORA impone al settore finanziario requisiti stringenti di resilienza operativa: capacità di mantenere servizi essenziali anche in condizioni di attacco o guasto grave. CER estende il discorso alla protezione fisica e logica delle entità critiche.

Le number stations sono un esempio estremo di resilienza minimale: un trasmettitore, un'antenna, un generatore, qualche postazione di backup. Nessun single point of failure, ma neanche ridondanze sofisticate. Se una stazione cade, un'altra prende il suo posto. È un modello di "resilienza povera" che funziona solo per sistemi semplici. Pretendere di trasporlo sui sistemi finanziari europei sarebbe ingenuo, ma il punto resta valido: ogni strato di complessità in più introduce fragilità che devono essere giustificate e governate.

Forense digitale e OSINT: continuità di metodo

Le indagini sui casi Cuban Five e Montes mostrano una dinamica che oggi è routine forense. Sono i dispositivi e i supporti come computer, software di decodifica, libretti di chiavi, trascrizioni a fornire la prova; non l'intercettazione "forzata" della crittografia. La lezione è brutale: gli algoritmi possono reggere, le pratiche umane no.

Questa logica è identica a quella che guida l'informatica forense nei casi di dispositivi cifrati: più che puntare alla rottura matematica dell'algoritmo, si cercano chiavi, credenziali, errori procedurali, backup dimenticati.

In parallelo, il lavoro di gruppi come Enigma 2000 - osservazione sistematica, condivisione di log e registrazioni - è OSINT prima che il termine diventasse di moda. Oggi l'OSINT è parte integrante della threat intelligence richiesta dalle normative: monitoraggio di fonti aperte, analisi di trend di attacco, ricostruzione di infrastrutture ostili. La continuità metodologica è evidente.

Cosa resta davvero utile delle number stations

Eliminate le analogie creative, le lezioni utili per la sicurezza attuale sono alcune, e sono dure.

Primo: la crittografia robusta non è negoziabile. I sistemi basati su one-time pad hanno mostrato che, se ben gestiti, l'anello debole non è l'algoritmo. Oggi l'equivalente è l'uso sistematico di crittografia forte (AES con chiavi lunghe, crittografia quantistica) su dati in transito e a riposo. Un'organizzazione che nel 2025 continua a trasmettere o archiviare dati critici in chiaro non è "in ritardo": è irresponsabile.

Secondo: la sicurezza operativa conta almeno quanto le tecnologie. Le number stations non sono state tradite dalle onde corte ma da radio lasciate in casa, software non protetti, chiavi conservate male, procedure disattese. NIS2 e ISO/IEC 27002 insistono sui controlli organizzativi e sulle persone proprio per questo: un processo mediocre annulla una tecnologia eccellente.

Terzo: la semplicità non è un vezzo ma una scelta di sicurezza. L'architettura delle number stations, trasmettitore, ricevitore e chiave è estrema ma razionale. Molti sistemi informativi contemporanei accumulano componenti, integrazioni, eccezioni e deroghe fino a diventare incomprensibili persino ai loro amministratori. Una parte della resilienza richiesta da NIS2 e DORA consiste nel saper dire dei no alla complessità inutile.

Quarto: la distribuzione delle credenziali è il vero tallone d'Achille. Per le number stations era il passaggio del libretto; oggi sono certificati, token API, credenziali cloud, sistemi di identity and access management. È un punto su cui le organizzazioni continuano a sottovalutare la superficie di attacco.

Quinto: la separazione dei canali resta un principio valido. Le spie distribuivano chiavi e messaggi su canali distinti; oggi la multifactor authentication e l'autenticazione out-of-band applicano la stessa logica. Non sfruttarla quando possibile significa rinunciare deliberatamente a un vantaggio elementare.

Oltre il "reasonable effort"

Le number stations hanno trasmesso per oltre settant'anni, e molte lo fanno ancora. Hanno sostenuto operazioni in cui gli errori costavano carriere, libertà, talvolta vite. Oggi alle organizzazioni europee si chiede di registrarsi ai fini NIS2 entro il 2025, implementare misure entro il 2026, notificare incidenti, sottoporsi ad audit e accettare sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo, con responsabilità giuridica per il management.

Il paragone è scomodo ma inevitabile: i servizi che gestivano le number stations non avevano il concetto di "reasonable effort"; dovevano funzionare, o fallivano in modo irreversibile. NIS2, ISO/IEC 27002, DORA e CER portano quella stessa logica in un contesto regolatorio: non si chiede la perfezione, ma si riduce lo spazio di alibi. Chi gestisce infrastrutture critiche non può più trattare la sicurezza come un optional delegabile al reparto IT.

Le voci sintetizzate che ancora oggi scandiscono numeri sulle onde corte non sono solo un residuo della Guerra fredda. Sono un promemoria che la sicurezza delle comunicazioni dipende da un insieme indivisibile: tecnologie adeguate, procedure rigorose e persone competenti e responsabilizzate. Le norme europee non inventano questo principio, provano a renderlo obbligatorio.

La differenza, rispetto alle number stations, è che oggi non rischiamo l'infiltrazione in un albergo di Berlino ma la compromissione di ospedali, banche, reti energetiche. Continuare a trattare la sicurezza come un fastidio amministrativo significa non avere capito la posta in gioco.

Fonti:

1. Podcast RAI "Numbers Stations - Le Radio delle Spie" (Stagione 1, 5 episodi)
2. ISO/IEC 27002:2022 - Information security, cybersecurity and privacy protection
3. Direttiva (UE) 2022/2555 (Direttiva NIS2)
4. D.Lgs. 4 settembre 2024 n. 138 (Recepimento NIS2 in Italia)
5. Regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio del 14 dicembre 2022 - (DORA)
6. United States v. Anna Belen Montes (2001)