Argomenti trattati
Il recente aumento delle tensioni tra Usa, Israele e Iran, iniziato il 28 febbraio, ha acceso un faro sulle possibili conseguenze nel dominio digitale. Autorità come la NCSC del Regno Unito hanno lanciato avvisi per le organizzazioni con legami o catene di fornitura in Medio Oriente, sottolineando l’aumento delle attività di ricognizione e delle campagne volte a individuare sistemi esposti.
Contemporaneamente, la censura delle comunicazioni — dai blackout nazionali alle restrizioni sui media — ha trasformato i canali social nell’arena principale per la diffusione di informazioni e testimonianze dirette. Questo doppio problema, che combina rischio per le infrastrutture critiche e limitazioni del flusso informativo, ha conseguenze sia operative sia etiche per governi, aziende e professionisti dei media.
Chi sono gli attori e quali motivazioni li muovono
La minaccia informatica non è monolitica: comprende gruppi sponsorizzati dallo Stato, collettivi hacktivisti e milizie informatiche. Tra i nomi ricorrenti figurano collettivi associati all’Iran come Apt33, Apt34 e Apt35, noti per campagne di spionaggio e azioni contro settori energetici e supply chain critiche. Secondo analisti di aziende come CrowdStrike, molte di queste realtà hanno già avviato scansioni delle reti e test su vettori di attacco, comportamento tipico nella fase preliminare di un’escalation.
Hacktivism e alleanze transnazionali
Accanto alle operazioni state-sponsored operano gruppi meno strutturati ma comunque impattanti. Sul versante anti-Iran sono emersi nomi come Gonjeshke Darande, Troll Team, Shadow33 e Legion, mentre sul fronte pro-Iran agiscono collettivi come Cyber Islamic Resistance e Handala, spesso con supporti di gruppi filorussi quali NoName057(16). Queste formazioni praticano campagne di DDoS, defacement e fughe di dati, e pur disponendo di risorse tecniche variabili possono creare disagi significativi, soprattutto se coordinate a livello mediatico.
Perché le infrastrutture critiche sono obiettivi privilegiati
Le Infrastrutture Critiche Nazionali — reti elettriche, impianti idrici, sistemi di trasporto e piattaforme Ics/Scada — risultano particolarmente fragili. Molte di queste soluzioni si basano su tecnologie legacy integrate nel tempo con le reti IT e, in certi casi, esposte a internet per esigenze di manutenzione. L’uso di dispositivi IoT insicuri, accessi remoti concessi a fornitori e la difficoltà di applicare patch alimentano la superficie di attacco.
Esempi di impatto pratico
Un attacco a un sistema Ics può interferire con sensori e attuatori, provocando spegnimenti di impianti, disbilanci della rete elettrica o alterazioni nei processi di trattamento delle acque. In impianti idrici, per esempio, la compromissione dei sistemi di dosaggio chimico potrebbe avere conseguenze dirette sulla salute pubblica. Non sono ipotesi astratte: incidenti analoghi sono già avvenuti in passato, con interruzioni di servizi essenziali e impatti economici e sociali rilevanti.
Il caso italiano e le vulnerabilità esplorate
In Italia l’attenzione è alta: analisti come Pietro Di Maria di Meridian Group hanno osservato canali in cui vengono condivise richieste per identificare sistemi Scada italiani esposti. L’approccio rilevato è spesso opportunistico: cercare impianti accessibili dalla rete pubblica, talvolta con autenticazioni deboli o assenti, per sfruttare esposizioni non intenzionali.
L’esperto di OT security Alessio Rosas ha mostrato come pannelli di controllo di impianti idroelettrici, turbine eoliche e altre piattaforme industriali possano risultare raggiungibili online. Nonostante normative come la NIS2, la presenza di accessi via VNC senza protezioni o con autenticazioni fragili è ancora attestata in alcuni casi, rendendo essenziali misure come VPN e segregazione delle reti per evitare passaggi dall’IT verso l’OT.
Vettori d’attacco e linee d’intervento
Gli attacchi combinano diverse tecniche: campagne di phishing, abuso di redirect OAuth, sfruttamento di vulnerabilità note negli Ics/Scada, campagne di DDoS e diffusione di ransomware. Le operazioni vengono spesso precedute da fasi di ricognizione volte a mappare architetture e punti deboli. Un attacco mirato può causare blackout, interruzioni nell’approvvigionamento idrico o energetico e gravi conseguenze economiche.
Per limitare il rischio sono fondamentali attività di monitoraggio continuo, condivisione tempestiva di indicatori di compromissione dal CTI, aggiornamento dei sistemi, uso di VPN e segmentazione delle reti. Il ruolo dei team di difesa è oggi centrale: interpretare segnali, contenere le attività malevole e ridurre la superficie di esposizione prima che le operazioni degenerino.
Il racconto dei giornalisti sotto censura
Parallelamente ai rischi tecnologici, la capacità di informare è ostacolata da blackout e restrizioni. Un esempio recente è il blackout iniziato l’8 gennaio 2026 in Iran, che ha isolato una popolazione di milioni di persone e reso difficili le verifiche sui fatti. Organizzazioni come Reporter senza frontiere (Rsf) hanno documentato come la soppressione delle comunicazioni limiti la possibilità di testimonianza diretta, mentre i citizen journalist diventano spesso l’unica fonte di reportage in aree off-limits per la stampa internazionale.
La combinazione di blackout mediatici e attacchi contro le infrastrutture potenzia l’effetto dirompente di una crisi: riduce la trasparenza, complica la gestione degli impianti e aumenta il rischio per la sicurezza pubblica. Per questo motivo la strategia di difesa deve integrare misure tecniche, cooperazione internazionale e tutela del giornalismo indipendente.