Handala è una minaccia strategica, non un gruppo di attivisti. Parla Teti

Alla fine è successo, Handala ha attaccato frontalmente l’Fbi. Il principale attore responsabile degli attacchi informatici riconducibili alla Repubblica islamica ha violato la posta elettronica del direttore Kash Patel. E c’è chi non è sorpreso, dal momento che lo aveva in un certo senso previsto. Tra questi, Antonio Teti, referente per la Cybersicurezza dell’Università G. D’Annunzio di Chieti-Pescara e docente di Fondamenti di Cybersecurity.

Professor Teti, il 27 marzo il gruppo Handala ha violato l’account Gmail personale del direttore dell’Fbi Kash Patel, pubblicando oltre 300 email e fotografie private. Come ha reagito quando ha appreso la notizia?

Con la consapevolezza di chi aveva già analizzato questo scenario. A gennaio scorso, su Formiche, avevo dedicato un’analisi approfondita proprio ad Handala, descrivendone la natura ibrida, parte operazione di intelligence iraniana, parte guerra psicologica, e la pericolosità sistemica. Il fatto che oggi si parli di Handala in relazione al vertice dell’Fbi non mi sorprende. Sorprende, semmai, che alcuni governi non abbiano tratto le dovute conclusioni in tempo.

Nel suo articolo di gennaio descriveva Handala come qualcosa di più di un gruppo hacktivista. Può spiegare questa distinzione?

Sì, ed è una distinzione fondamentale. Handala si presenta come un collettivo pro-palestinese, il nome stesso richiama il personaggio delle vignette del fumettista Naji al-Ali, simbolo della resistenza palestinese. Ma questa è la facciata. Secondo le analisi di Check Point Research, di Palo Alto Networks Unit 42 e dello stesso Dipartimento di Giustizia americano, Handala è di fatto un’unità operativa del Ministero dell’Intelligence iraniano, il Mois (Ministero dell’Informazione e della Sicurezza iraniano), specializzata in operazioni distruttive e di guerra psicologica. Già a gennaio documentavo che il gruppo operava secondo una logica di hack-and-leak: non si limita a sottrarre dati, ma li pubblica in modo orchestrato per massimizzare l’impatto mediatico e psicologico sul bersaglio.

Nel suo articolo analizzava gli attacchi contro figure dell’establishment israeliano come Naftali Bennett e Tzachi Braverman. In che modo quell’operazione anticipava quello che è accaduto a Patel?

Il pattern è identico. Tra fine dicembre 2025 e inizio gennaio 2026, Handala aveva rivendicato la compromissione degli account Telegram di Bennett e Braverman. Già allora scrivevo che il caso non andava letto come semplice cronaca di hacking, ma come segnale strategico: la messaggistica istantanea e la posta elettronica personale sono diventate infrastrutture critiche personali, e gli attacchi si muovono esattamente dove tecnica e psicologia si incontrano. L’obiettivo di Handala non è il controllo totale del dispositivo, spesso basta l’accesso a un singolo account ad alto valore simbolico per produrre effetti sproporzionati.

Il Dipartimento di Giustizia ha confermato sia l’autenticità del materiale sottratto a Patel sia la violazione dell’account. Cosa rivela questo sul livello di vulnerabilità delle istituzioni americane?

Rivela un paradosso strategico enorme. Gli Stati Uniti spendono centinaia di miliardi in difesa e sicurezza, eppure il direttore dell’FBI aveva un account Gmail personale non adeguatamente protetto. L’attacco è stato condotto con tecniche elementari, verosimilmente credential stuffing su un account già compromesso in precedenza. Questo conferma esattamente ciò che scrivevo a gennaio: l’anello debole non è quasi mai il sistema istituzionale blindato, ma la superficie d’attacco complessiva dell’individuo, le sue abitudini digitali, gli account secondari, la cosiddetta “igiene digitale”. Per i profili ad altissimo rischio come un direttore dell’FBI, questa negligenza è inaccettabile.

Handala ha anche colpito Stryker, il colosso americano dei dispositivi medici. Stiamo assistendo a una campagna sistematica?

Assolutamente sì. All’inizio di marzo Handala ha rivendicato un attacco ransomware contro Stryker, presentandolo come rappresaglia per un bombardamento in Iran. Il 27 marzo ha colpito Patel. Si tratta di una campagna coordinata, non di episodi isolati. È la dimensione cyber del conflitto aperto tra Stati Uniti, Israele e Iran. Handala funziona come un proxy: colpisce in modo rumoroso, con obiettivi simbolici, mantenendo per Teheran un vantaggio di ambiguità diplomatica. È uno strumento di guerra asimmetrica sofisticato, non un gruppo di ragazzini con un computer.

Cosa avrebbe dovuto fare, e cosa dovrebbe fare ora, chi si occupa di sicurezza istituzionale alla luce di queste analisi?

La lezione è semplice nella teoria, difficile nella pratica: la sicurezza dei vertici istituzionali non può fermarsi alla porta degli uffici. Deve estendersi all’intera vita digitale della persona. Handala ha capito che colpire un account privato di un funzionario pubblico produce lo stesso, se non maggiore, impatto reputazionale rispetto a un attacco ai sistemi ufficiali. È guerra psicologica pura. E come scrivevo già a gennaio, la credibilità è una risorsa: basta un solo leak credibile per rendere plausibili tutti i successivi. Chi fa intelligence e sicurezza deve ragionare in questi termini, non solo in termini tecnici.

Una previsione per i prossimi mesi?

Handala non si fermerà. Anzi, l’attacco a Patel è probabilmente il punto più visibile di una campagna destinata a intensificarsi, in parallelo con l’escalation militare in corso. Mi aspetto ulteriori operazioni contro figure simboliche americane e israeliane, con l’obiettivo di umiliare pubblicamente le istituzioni avversarie e dimostrare la vulnerabilità di chi si presenta al mondo come potenza invulnerabile. La guerra cognitiva si combatte sui titoli dei giornali, non solo sui campi di battaglia. E su questo fronte, purtroppo, Handala sta vincendo punti.