Con la militarizzazione del cyberspazio, gli attori statali e non statali hanno iniziato a sperimentare nuove forme di conflitto ibrido, le quali integrano capacità militari tradizionali con capacità cyber offensive. L’attuale scenario conflittuale in Medio Oriente rappresenta uno dei laboratori più esemplificativi di questa convergenza.
Dietro a missili balistici, bombardieri e droni si cela una “guerra invisibile”. A differenza di un BGM-109 Tomahawk o di un Hadid-110, le cyber weapon non lasciano crateri visibili, eppure sono in grado di generare effetti destabilizzanti, talvolta operando sotto la soglia del conflitto convenzionale, talvolta fungendo da asset strategici nel perseguimento di obiettivi bellici.
Stuxnet: il primordio dei cyber attacchi nella guerra ibrida tra Stati Uniti, Israele e Iran
L’interesse, tanto statunitense quanto israeliano, di sabotare i programmi di sviluppo di capacità nucleari iraniane risale almeno ai primi anni Duemila, quando un sofisticatissimo malware è stato iniettato nei sistemi di controllo industriale (ICS) dell’impianto nucleare di Natanz. Si tratta di Stuxnet, un worm che sfruttava quattro vulnerabilità zero-day, ma mantenendo occulta la manipolazione, in modo che il sistema manomesso apparisse perfettamente funzionante. Questo virus malevolo, rilevato per la prima volta nel giugno del 2010 da una società bielorussa chiamata VirusBlockAda, è passato alla storia come la prima cyber weapon, in quanto ha svelato il potenziale degli attacchi cibernetici. Questi ultimi, pur sfociando di rado nella perdita di vite umane, sono in grado di travalicare i confini del cyberspazio e apportare danni fisici alle infrastrutture critiche degli Stati aggrediti.
Date le difficoltà e i rischi di escalation militare emergenti da potenziali errori di attribuzione, il governo di Teheran non ha mai rilasciato comunicazioni ufficiali, indicative di un responsabile. Ciononostante, molti esperti nel campo della cybersicurezza, a seguito delle indagini forensi effettuate, concordano nell’inquadrare Stuxnet all’interno di una più ampia campagna di operazioni cibernetiche, nota come “Olympic Games”, inaugurata dagli Stati Uniti nel 2007, durante il mandato presidenziale di George W. Bush. In particolare, dal report redatto dall’International Institute for Strategic Studies emerge il coinvolgimento della National Security Agency statunitense e dell’Unità 8200 israeliana, le quali avrebbero cooperato nello sviluppo del malware. Queste due unità ne avrebbero anche testato il comportamento sulle centrifughe P-1, tratte dal programma nucleare libico, replicando l’ambiente operativo dell’impianto nucleare iraniano presso i laboratori del Dipartimento di Energia degli Stati Uniti e presso la centrale nucleare israeliana di Dimona.
L’obiettivo perseguito sarebbe stato la manomissione del controllore logico programmabile, da cui dipende il funzionamento delle centrifughe per l’arricchimento dell’uranio dell’impianto nucleare di Natanz. L’effetto ottenuto, secondo alcuni funzionari presso la Casa Bianca, sarebbe stato quello di ritardare di circa due anni (e non cessare completamente) il programma nucleare iraniano, mediante il deterioramento progressivo delle centrifughe, costringendo l’Iran a sostituirne centinaia. I dati elaborati dall’Agenzia Internazionale per l’Energia Atomica (AIEA), invece, rilevano un andamento crescente della produzione di uranio a basso arricchimento (LEU) tra novembre 2009 e agosto 2010, registrando una produzione aggiuntiva di 995 kg rispetto al totale cumulativo precedente. Tuttavia, dall’analisi dell’Institute for Science and International Security si intuisce che la mera osservazione dell’andamento sarebbe fuorviante, poiché il tasso di crescita ammontava a una quantità ben inferiore rispetto alle capacità produttive delle centrifughe IR-1. Inoltre, il modulo A26, ossia la seconda sezione operativa dell’impianto, ha subito un impatto maggiore, verosimilmente riconducibile a Stuxnet. Ogni modulo è formato da 2.952 centrifughe IR-1 ripartite in 18 cascate, di cui 11 risultavano disconnesse, per un totale di 1.804 centrifughe fuori servizio tra il novembre 2009 e il gennaio 2010.
Sebbene il governo di Tehran si sia astenuto dal mettere in atto misure di rappresaglia, la conseguenza indiretta di questo episodio di cyber war è stata il rafforzamento delle capacità cyber offensive delle forze armate iraniane, il che ha permesso all’Iran di raggiungere il rango di potenza cyber di secondo livello. Tale avanzamento contribuisce all’efficacia della strategia di deterrenza iraniana, in quanto il potenziale distruttivo degli attacchi cibernetici lanciati dall’Iran dovrebbe dissuadere gli altri attori, statali e non, dall’intraprendere conflitti convenzionali. Tuttavia, tale previsione non rispecchia sempre la realtà dei fatti, in quanto la percezione degli attacchi informatici tende ad essere più lieve rispetto a quella degli attacchi in altri domini. Quindi, la deterrence by punishment rischia di perdere credibilità nel cyberspazio, in quanto, oltre a essere meno visibile, solleva la questione della difficoltà di attribuzione.
Risvolti odierni del conflitto USA-Israele-Iran
Il 28 febbraio 2026 è stata avviata, su ordine del Presidente statunitense Donald J. Trump, una campagna militare in Iran, condotta congiuntamente dal Comando Centrale degli Stati Uniti (CENTCOM) e dalle Forze di Difesa Israeliane (IDF). L’operazione congiunta, denominata “Epic Fury” da Washington, ma resa nota come “Roaring Lion” da Tel Aviv, ha interessato siti nucleari e missilistici, impianti energetici, basi aeree e navali, infrastrutture di comando e controllo (C2) del Corpo delle Guardie della Rivoluzione Islamica (IRGC), ma anche strutture di uso civile, a detta dell’ambasciatore iraniano all’ONU Amir Saeid Iravani. Stando alle dichiarazioni della Casa Bianca, l’obiettivo dell’offensiva sarebbe quello di smantellare l’arsenale balistico iraniano, distruggere la marina e degradare le reti terroristiche regionali. Tutto ciò si inserisce in una strategia più ampia di neutralizzazione della “minaccia nucleare”, presumibilmente posta dal regime della Repubblica Islamica dell’Iran, secondo quanto asserito dalle autorità governative delle forze attaccanti.
L’operazione di giugno 2025, nota come “Midnight Hammer”, ha bersagliato gli impianti nucleari di arricchimento dell’uranio di Fordow e Natanz, e le strutture metallurgiche a Isfahan, al fine di interrompere il programma nucleare iraniano. Benché l’amministrazione Trump abbia dichiarato il successo nell’eliminazione delle componenti nucleari per la costruzione di bombe, i media CNN riportano che, a febbraio 2026, Steve Witkoff, l’inviato speciale degli Stati Uniti in Medio Oriente, ha segnalato la persistente disponibilità di materiale nucleare sul territorio iraniano, ben oltre le quote di uso civile. Tuttavia, tali osservazioni sono state contraddette dal Segretario del Dipartimento di Guerra (DoW) statunitense Pete Hegseth, durante un discorso tenutosi al Pentagono il 2 marzo. Egli ha, invece, espresso la necessità di mettere nel mirino i siti di produzione delle capacità militari convenzionali, le quali verrebbero sviluppate dal regime iraniano per creare uno “scudo convenzionale” a sostegno delle sue ambizioni nucleari.
La risposta del governo di Tehran si è cristallizzata in un’ondata di cento attacchi – l’ultimo è stato eseguito mercoledì 8 aprile – sotto il nome di “True Promise IV”, che l’esercito dei Pasdaran ha sferrato contro infrastrutture energetiche del Golfo, basi statunitensi nella regione e diverse città israeliane. Secondo i dati riportati da Army Recognition, durante le ritorsioni militari contro gli obiettivi statunitensi e israeliani, l’IRGC ha sperimentato per la prima volta i droni kamikaze Hadid-110, in grado di quasi triplicare la velocità dei precedenti droni Shahed-136.
Per quanto concerne, invece, i danni arrecati al popolo e alle infrastrutture iraniane, l’Organizzazione Mondiale della Sanità (OMS) ha avvertito riguardo ai pericoli alla salute degli effetti innescati dai bombardamenti contro i depositi petroliferi nei pressi della capitale iraniana. Il rilascio di idrocarburi tossici, anidride solforosa e ossidi di azoto, nonché la pioggia acida, provocata dalla combustione del petrolio, mette a rischio la salute di circa 10 milioni di abitanti, residenti a Tehran. Secondo i dati riportati da Reuters, il bilancio delle vittime civili e militari, al quarantunesimo giorno dall’inizio del conflitto, ammonterebbe a più di 3.000. Mohammad Eslami, il presidente dell’Organizzazione per l’energia atomica dell’Iran (AEOI), ha, inoltre, informato i media di stato riguardo allo status del programma nucleare iraniano, il quale sarebbe rimasto intatto e, anzi, continuerebbe a progredire, malgrado i bombardamenti alle centrali nucleari. Che si tratti di propaganda di stato o meno, resta il fatto che il know-how del popolo iraniano può essere difficilmente annullato.
Fusione dei domini di conflittualità
L’operazione Epic Fury ha coinvolto più fronti di attacco, al fine di conseguire gli obiettivi militari prefissati. Ciò consente di collocare il conflitto in esame all’interno della categoria analitica di “guerra ibrida”. In particolare, sono state rilevate attività cibernetiche a supporto degli attacchi cinetici, come esfiltrazioni di intelligence e information operations, volte a manipolare l’opinione pubblica tramite la compromissione di applicazioni.
Secondo le statistiche stilate da NetBlocks, l’11 aprile la popolazione iraniana è entrata nel quarantatreesimo giorno di blackout nazionale, avendo trascorso 1008 ore con un livello di connettività pari all’1% rispetto ai livelli ordinari. Tenendo conto sia dei precedenti storici della leadership iraniana, sia degli obiettivi perseguiti dalla coalizione USA-Israele, è lecito chiedersi se il blackout rientri in una tattica interna di repressione del dissenso, oppure se sia la manifestazione digitale di una strategia di sabotaggio delle infrastrutture critiche, pianificata dalle forze attaccanti. Benché non si disponga di una risposta indiscutibile, Kathryn Raines, team lead della cyber threat intelligence presso la piattaforma Flashpoint, ha ricondotto l’evento a una combinazione tra soppressione imposta dal governo e interferenza digitale proveniente dall’esterno. Ad ogni modo, senza menzionare direttamente il collasso di internet, il sito del DoW attesta il ricorso del Comando Cibernetico e del Comando Spaziale degli Stati Uniti a “effetti non cinetici” per interrompere le comunicazioni iraniane durante l’attacco del 28 febbraio.
Inoltre, Palo Alto Networks non ha constatato alcun incremento in attività di state-sponsored hacking, forse proprio a causa del blackout. Ciò che è stato osservato, invece, è un picco nelle campagne cyber condotte da hacktivisti pro-Iran, localizzati fuori dal territorio iraniano. Il 10 marzo, il gruppo Handala, in ritorsione ai bombardamenti contro la scuola elementare femminile della città di Minab, ha condotto un wiper attack contro Stryker, un’azienda statunitense di tecnologia medica che opera in tutto il mondo. Dopo essersi introdotti nei sistemi IT di Stryker, paralizzando le sue reti globali, gli hacker avrebbero sottratto 50 terabyte di dati sensibili prima di procedere alla cancellazione, dichiarando di aver inaugurato “un nuovo capitolo della cyber warfare”.
Dal canto loro, alcuni hacktivisti filoccidentali sono sospettati di aver compromesso il backend di un’app di preghiera musulmana, chiamata BadeSaba Calendar, la quale conta circa 5 milioni di account registrati. Tramite quest’operazione sono stati veicolati dei messaggi propagandistici, incitando il popolo iraniano alla “resa” e a “deporre le armi”. Gli screenshot delle notifiche push non autorizzate, immortalati dagli utenti, attestano il ricorso a tecniche di guerra psicologica. In base a quanto riportato da Lawfare, secondo l’esperto cyber iraniano Hamid Kashfi, l’appropriazione illecita delle localizzazioni geografiche degli utenti avrebbe giovato alla macchina di intelligence israeliana. Analogamente, Israele avrebbe attinto ad attacchi cibernetici per interrompere le telecomunicazioni iraniane e, al contempo, tramite operazioni di cyber espionage, avrebbe intercettato la posizione dei bersagli, tra cui l’Ayatollah Ali Khamenei, arrivando così a decapitare la leadership iraniana.
Gli attacchi informatici analizzati, da Stuxnet fino all’hack di BadeSaba, rivelano i rischi e le potenzialità del cyberspazio, che da dominio secondario di conflittualità si è affermato come vero e proprio strumento di proiezione del cyber power nei conflitti odierni, capace di trascendere la sua dimensione virtuale per produrre effetti concreti nel mondo fisico e, talvolta, psicologico.
