Nello scenario delle crescenti tensioni geopolitiche tra Iran e Israele, sta emergendo con particolare urgenza il tema della sicurezza cibernetica a livello globale, infatti, la guerra in corso tra Iran e Israele sta sollevando apprensioni crescenti anche in ambito cibernetico, con implicazioni che travalicano i confini dei Paesi direttamente coinvolti nel conflitto. Secondo gli esperti di sicurezza informatica, vi è infatti il rischio che azioni ostili rivolte a infrastrutture israeliane si traducano in effetti collaterali su sistemi interconnessi a livello globale, coinvolgendo anche realtà europee e occidentali, inclusa l’Italia.

Tali preoccupazioni sono state recentemente confermate da comunicazioni ufficiali congiunte emesse da enti statunitensi come IT-ISAC e Food & Agriculture ISAC, che il 13 giugno 2025 hanno invitato istituzioni e aziende a rafforzare le misure di protezione, evidenziando la possibilità che offensive digitali in Medio Oriente possano riverberarsi su infrastrutture critiche di Paesi terzi, attraverso le reti condivise o le catene di approvvigionamento. Malgrado il fatto che molti degli attacchi iraniani si configurino attualmente come manifestazioni psicologiche piuttosto che vere operazioni distruttive, le autorità occidentali continuano a monitorare con attenzione l’evolversi dello scenario. Un advisory diffuso da agenzie di intelligence di Stati Uniti, Regno Unito, Israele e Canada ha ribadito che, nonostante i limitati risultati finora conseguiti sul piano operativo, il rischio di compromissione per reti e sistemi globali resta concreto.

Dunque, l’Iran è da tempo considerato uno degli attori più attivi nel cyberspazio contro i Paesi del G7. Dal 2017 in poi, numerosi rapporti pubblicati da CISA e Mandiant hanno documentato la diffusione di attività informatiche ostili da parte di gruppi collegati direttamente o indirettamente al governo iraniano. Esemplificativo è l’attacco del 25 novembre 2023 alla Municipal Water Authority di Aliquippa, condotto dal gruppo CyberAv3ngers, che ha compromesso una stazione di pompaggio senza però provocare danni operativi, limitandosi a diffondere messaggi di propaganda.

Ad agosto 2024, CISA ha pubblicato un avviso (AA24-241A) in cui descrive le tecniche usate da gruppi come UNC757 e Lemon Sandstorm per colpire infrastrutture critiche con ransomware e attacchi informatici sofisticati. Nello stesso periodo, Google TAG ha segnalato che il gruppo APT42, legato ai Pasdaran, ha condotto campagne di phishing mirato usando falsi domini di testate giornalistiche e enti governativi. Uno degli aspetti più importanti connessi alla minaccia iraniana nel cyberspazio è rappresentato dalla sua capacità di produrre effetti indiretti su infrastrutture e servizi di Paesi terzi, Italia compresa. Le interconnessioni digitali e la crescente dipendenza da fornitori esterni rendono infatti possibile la diffusione dell’impatto attraverso canali indiretti, come reti cloud o fornitori di tecnologie condivise, pertanto, risulta indispensabile rafforzare le attività di intelligence e di monitoraggio proattivo.

Un ulteriore elemento da considerare è l’adozione, da parte dell’Iran, di una strategia basata sull’utilizzo di gruppi sotto falsa identità. Alcuni soggetti operativi, impiegano strumenti legittimi come BitLocker per cifrare i dati delle vittime, simulando richieste di riscatto tipiche del ransomware, mentre l’obiettivo reale rimane la distruzione dei sistemi o la creazione di disservizi.

In Italia, l’Agenzia per la Cybersicurezza Nazionale ha già avviato, con l’emanazione delle linee guida del 2024 in attuazione della legge n. 90, un percorso di rafforzamento delle capacità difensive. Le indicazioni fornite promuovono una gestione strutturata dei rischi, la tempestiva risposta agli incidenti e la collaborazione pubblico-privato attraverso la rete del CERT nazionale e a livello europeo, il recepimento obbligatorio della Direttiva NIS 2 entro ottobre 2024 impone agli Stati membri di adottare misure di sicurezza adeguate e proporzionate per la protezione delle infrastrutture digitali e dei servizi essenziali. In tale scenario, è incoraggiata l’adozione di standard tecnici internazionali, come l’ISO/IEC 27001:2022, e la partecipazione attiva a comunità di condivisione informativa (ISAC/ISAO). Sono inoltre raccomandate esercitazioni regolari per testare la capacità di risposta agli incidenti.

In conclusione, la situazione geopolitica, ad oggi, impone un approccio sistemico e integrato alla gestione delle minacce cyber, che coinvolga non solo i Paesi direttamente esposti al conflitto, ma anche quelli potenzialmente colpiti in modo indiretto, con l’obiettivo di garantire resilienza, sicurezza e continuità operativa a livello globale.

Visualizzazioni: 4