La guerra tra Usa e Iran passa dal cyberspazio. La minaccia dei Guardiani della rivoluzione contro Google, Meta e Apple dà il segno di una guerra globale che non si svolge solo con missili e droni, ma da un’infiltrazione digitale profonda, una guerra ibrida tra criminali reclutati alla bisogna, sabotaggi e intimidazioni mescolate con intelligence, terrorismo e guerra psicologica. «L’Iran non è invincibile ma è aggressivo, opaco, adattivo. E proprio per questo è pericoloso, Teheran e i gruppi collegati restano attori credibili nel dominio cyber», ci spiega una fonte che ha lavorato con l’intelligence israeliana. Gruppi latenti che possono generare malware e colpire strutture governative, sedi bancarie, ospedali e, ovviamente, big tech. Come è successo recentemente a Stryker Corp, un colosso nella produzione delle tecnologie medicali. A coordinare le attività, secondo l’Fbi, ci sarebbe il ministero dell’Informazione e della Sicurezza iraniano che non ha mai smesso di sferrare attacchi interni ai dissidenti. Teheran non opera da sola ma si avvale della collaborazione di gruppi presenti in Libano, Iraq e Russia come Qilin e Morpho. «Il cyberterrorismo non è improvvisazione né mera pirateria: è la manifestazione di un’intelligenza organizzata, sostenuta da modelli matematici di straordinaria complessità. Il caso iraniano dimostra che la dimensione digitale è ormai terreno strategico globale, dove la resilienza di una nazione si misura nella sua capacità di coniugare scienza, sicurezza e cultura del rischio», spiegano Genseric Cantournet e Angela Pietrantoni di Kelony, la prima risk-rating agency al mondo.
A oggi, in Iran, la connessione internet è oscurata pressoché del tutto. Eppure gli ayatollah riescono comunque a rafforzare la propria propaganda usando un servizio di telefonia interna e a estrarre Bitcoin. La Repubblica islamica finanzia generosamente i costi dell’elettricità (mezzo centesimo di dollaro per chilowattora) per incoraggiare il mining di cui è una delle insospettabili regine dal 2019, con 700 mila macchine che assorbono circa 2.000 megawatt di elettricità con la supervisione degli ayatollah che usano le cripto per aggirare le sanzioni. Il costo di un Bitcoin viaggia sui 1.300 dollari, 60 volte meno della media globale, e frutta a Teheran circa 8 miliardi di euro l’anno. Dentro l’Iran il cyberspazio è diventato uno strumento di controllo domestico: censura, sorveglianza e repressione digitale. Con un paradosso: la cyber infiltrations tramite IA che ha compromesso la videosorveglianza iraniana. Vedi il sotfware russo FindFace di NtechLab, comprato nel 2019 dalla Rasadco, con cui il regime iraniano andava a caccia di dissidenti grazie al riconoscimento facciale. Ma gli israeliani, come ha ricostruito il Financial Times, avrebbero sfruttato la stessa infrastruttura per rintracciare gli ayatollah e farli fuori. Una lezione brutale: chi costruisce uno Stato di sorveglianza si costruisce anche una superficie d’attacco gigantesca.
Con la virtualizzazione dei processi e la connessione delle infrastrutture mondiali sulle stesse reti, un malware confezionato in Iran può impedire a un ospedale in Italia di erogare ossigeno nei reparti di degenza e, al tempo stesso, bloccare in Francia i server di una banca azzerando qualsiasi scambio economico e commerciale. Il tutto senza aver bisogno di rampe di lancio, propulsori e studi sui coefficienti balistici. È per questo che recentemente l’intelligence italiana si è messa a reclutare 007 capaci di operare su scenari ibridi. Le attività di open source intelligence (Osint) vanno così legarsi a operazioni cibernetiche più complicate in scenari in cui è richiesto, per esempio, di intercettare droni o spostamenti tattici dotati di rilevazione gps. Il direttore del Servizio Polizia postale e della sicurezza cibernetica Ivano Gabrielli l’aveva detto pubblicamente appena scoppiato il conflitto: «Oramai la cybersicurezza è diventata un fattore geopolitico, costruire autonomamente sistemi adeguati di cybersicurezza significa mettere al sicuro buona parte della nostra economia, della nostra democrazia e del nostro sviluppo futuro».
L’Italia è uno dei Paesi più a rischio. L’ultimo report dell’associazione per la sicurezza informatica (Clusit) ha registrato un aumento delle attività del 42% rispetto al 2025 e un impatto del 9,6% del totale degli incidenti globali. Fortunatamente nel nostro Paese, come nel resto d’Europa, c’è un’importante rete di aziende, altamente specializzate, che supportano i governi nel creare uno scudo cibernetico.
Fincantieri attraverso la controllata E-phors ha vinto una commessa con la Marina Militare per il potenziamento della cyber resilienza navale grazie al monitoraggio dell’ecosistema digitale delle navi sulla rete di bordo Ship Management System.
Leonardo nelle scorse settimane ha ampliato la propria capacità cyber acquisendo l’inglese Becrypt e Axiomatics Ab, coopera con il gruppo Elt per i droni ed è entrato nell’azionariato della finlandese Ssh e della svedese CanaryBit perché «di fronte a tecnologie così frammentate, Nato e difesa europea devono innovarsi, anticipare e cooperare». C’è infine l’alleanza con la spagnola Indra Group, il secondo gruppo industriale europeo del comparto per capitalizzazione e di una delle aziende spagnole che investono di più. Deas Cyber è impegnata nella formazione e nella difesa cibernetica.
In Francia uno dei riferimenti è Orange Cyberdefense, con sede a La Défense di Parigi. Guidata da Hugues Foulon, è legata al ministero della Difesa francese. Sempre in Francia si distingue Stormshield, nata dalla fusione di Airbus Cybersecurity, Arkoon Network Security e NetAsq. Sotto la guida di Pierre-Yves Hentzen, si occupa di sicurezza delle reti, crittografia e protezione delle workstation ma anche di formazione accademica e istituzionale sulla cybersecurity. In Germania emerge Infodas GmbH, attiva da oltre cinquant’anni nella protezione di infrastrutture critiche, settore pubblico e difesa in ambito Nato. L’azienda, guidata da Thorsten Ecke, Lutz Franken e Carsten Schulz ha come partner l’italiana Elt Group.
eventi ostili
«Quando le tensioni geopolitiche esplodono, il cyberspazio diventa immediatamente un secondo fronte – spiega a Moneta Nuzia Ciardi, vicedirettore generale dell’Agenzia per la cybersicurezza nazionale, che rileva e contrasta ogni giorno centinaia di eventi ostili – l’eliminazione di vertici iraniani è stata il risultato di anni di raccolta e incrocio di dati (telecamere, traffico di rete, fonti umane, contenuti social). I dati sono diventati un’arma operativa a tutti gli effetti, la consapevolezza digitale di ciascuno è parte della difesa collettiva». Un lavoro silenzioso ma essenziale, con monitoraggio intensificato, analisi del dark web e comunicazioni proattive alle strutture più esposte. In questo quadro di guerra ibrida si inserisce anche il fenomeno del terrorismo, che sfruttando le vulnerabilità digitali su scala più ampia «potrebbe colpire servizi essenziali: reti elettriche, sistemi ospedalieri, acquedotti, trasporti. Non si tratta di alimentare paure, ma di riconoscere uno scenario che richiede preparazione. Nella guerra ibrida ogni dato ceduto con leggerezza – una password riutilizzata, un’email sospetta aperta senza cautela, informazioni personali affidate a piattaforme di cui non leggiamo le condizioni – può diventare un punto d’ingresso», conclude la Ciardi.
L’anno scorso, prima che iniziasse la guerra, un cyber attacco ha colpito Nobitex, la più importante piattaforma di scambio di criptovalute in Iran che controlla l’87% degli scambi e che ha gestito più di 2 miliardi di dollari in Tether solo nel 2025. A rivendicarlo gli hacker filo israeliani Predatory Sparrow, che 24 ore prima avevano attaccato Bank Sepah, storico istituto di credito pubblico di Teheran, mandando in tilt ogni operazione. Così Tel Aviv è riuscita a disinnescare uno degli strumenti di finanziamento del terrorismo. Ma non basterà a fermarli.
Leggi anche:
© Riproduzione riservata
