Nella notte fra il 21 e il 22 giugno gli Stati Uniti sono scesi in campo accanto a Israele e hanno colpito i tre siti nucleari simbolo del programma iraniano – Fordow, Natanz e Isfahan – impiegando per la prima volta in operazioni reali la GBU-57 Massive Ordnance Penetrator, una bomba da 30.000 libbre capace di perforare oltre 60 metri di roccia. Fonti militari citate da Reuters parlano di sei bombe sganciate da bombardieri stealth B-2 e di una salva di trenta Tomahawk contro le infrastrutture di supporto. La novità emersa è che lo US Cyber Command ha affiancato l’operazione, fornendo supporto di targeting digitale: segno che l’attacco è nato fin dall’inizio come azione congiunta cinetica. La scelta è spiegabile: Fordow è sepolta fino a 100 metri sotto la montagna, profondità inaccessibile all’aviazione israeliana; solo la triade B-2-MOP-rifornimenti in volo garantisce la penetrazione necessaria. Washington riduce il potenziale convenzionale di Teheran e, al tempo stesso, mette il regime davanti a un bivio: subire o reagire con strumenti asimmetrici, cioè milizie alleate e attacchi cyber.

Il blackout digitale di Teheran

La reazione iraniana è arrivata subito nel dominio digitale. Già il 19 giugno NetBlocks e altre società di monitoraggio hanno registrato un crollo della connettività interna fino al 97 %, segno che Teheran ha attivato il proprio “kill switch” – blocco quasi totale di internet e telefonia – ufficialmente per fermare intrusioni israeliane, in realtà anche per bloccare le irruzioni antigovernative sulla TV di Stato, dirottata per alcune ore da messaggi critici verso il regime. In parallelo, la cyber-command iraniana ha ordinato ai funzionari di abbandonare laptop e smartphone collegati alla rete, temendo esfiltrazioni mirate; la direttiva è stata confermata dall’agenzia Fars e ripresa da Politico EU. Un dossier riservato diramato ai CERT occidentali — Cyber Alert: Iranian Digital Retaliation Imminent — avverte che la finestra di ritorsione più probabile è di 72-96 ore e che Teheran userà l’intero arsenale, dagli APT d’élite alle sigle hacktiviste di facciata.

L’intervento chirurgico israeliano

Tel Aviv, però, detiene l’iniziativa offensiva nel cyberspazio attraverso Predatory Sparrow (Gonjeshke Darande), gruppo indicato da più fonti come longa manus delle unità cyber militari israeliane. Il 17 giugno gli hacker hanno colpito la banca statale Bank Sepah, mettendo fuori uso bancomat, servizi online e – a loro dire – cancellando l’intero database dell’istituto. Ventiquattr’ore dopo è toccato al maggiore exchange di criptovalute iraniano, Nobitex: oltre 90 milioni di dollari in asset digitali sottratti e “bruciati” su indirizzi‐vanity contenenti l’insulto “F*ckIRGCterrorists”, a indicare che l’obiettivo era politico, non economico; mentre The Block ha mostrato il leak del codice sorgente della piattaforma come ulteriore gesto dimostrativo  . Il messaggio è lampante: colpire i canali di finanziamento dei pasdaran, eroderne la credibilità e amplificare il tutto sui social – il gruppo ha rivendicato su X pochi minuti dopo l’hack.

L’ondata hacktivista e il rischio di spill-over

Teheran risponde con la forza dei numeri. Il rapporto di Radware calcola un aumento del 700 % negli attacchi lanciati (o rivendicati) contro obiettivi israeliani nelle 48 ore successive ai raid, con quasi 100 gruppi hacktivisti attivi, oltre 60 schierati con l’Iran, e una media di 30 campagne DDoS al giorno, accompagnate da phishing massivo, SMS di panico e deep-fake che mirano a seminare confusione fra i civili. Axios avverte invece, citando gli ISAC statunitensi, che un ulteriore scatto dell’escalation potrebbe far traboccare ransomware o wiper iraniani verso infrastrutture occidentali, come accadde con NotPetya nel 2017. Il National Terrorism Advisory System americano ha diffuso un avviso pubblico su un «ambiente di minaccia elevata»; Jen Easterly, ex direttrice CISA, ha invitato le aziende a tenere gli shields up. Secondo lo stesso dossier riservato, il 79 % degli attacchi iraniani recenti è “malware-free” — sfrutta credenziali rubate e strumenti di sistema leciti — con tempi medi di breakout di 48 minuti: difendersi richiede reazione quasi istantanea. La guerra digitale non resta confinata ai “bit”: secondo un’inchiesta di Bloomberg, l’intelligence iraniana sta tentando di prendere il controllo delle videocamere di sorveglianza domestica in Israele per valutare in tempo reale l’impatto dei propri missili, al punto che l’Israel National Cyber Directorate ha invitato la popolazione a cambiare password o scollegare i dispositivi. Il cortocircuito fra dominio fisico e dominio informativo è ormai strutturale: le bombe bunker-buster aprono le montagne, gli hacker aprono i database e i router.

Petrolio, cavi e cloud: l’effetto domino sul Vecchio Continente

Le ripercussioni economiche non tardano. Dopo i primi scambi di fuoco, il Brent ha superato quota 120 dollari al barile, complice il timore che lo Stretto di Hormuz – rotta del 20 % del greggio mondiale – diventi teatro di nuovi attacchi iraniani o dei proxy Houthi. In Europa la questione energetica si intreccia con quella digitale. Il cavo sottomarino BlueMed, che dalla Sicilia corre verso Israele e prosegue nell’Est Med, si ritrova improvvisamente esposto a potenziali sabotage fisici o wiper software: l’Agenzia per la cybersicurezza nazionale testa procedure di ripristino in quarantotto ore. Bruxelles, intanto, valuta di estendere il Cyber Rapid Response Team – finora impiegato per l’Ucraina – anche a sostegno di Israele e di partner mediorientali, mentre la responsabile esteri Kaja Kallas convoca un Consiglio straordinario sull’onda degli allarmi lanciati da Banca Centrale Europea e Agenzia ENISA sulla resilienza delle reti OT continentali.

L’Italia al Comando di Aspides e la diplomazia a doppio canale

Per l’Italia le sfide sono doppie. Da un lato la Marina è al timone dell’operazione europea Aspides nel Mar Rosso, incaricata di garantire la libertà di navigazione contro droni e mine delle milizie filo-iraniane; dall’altro, Roma conserva canali diplomatici storici con Teheran e rapporti industrial-cyber con Gerusalemme: un equilibrio che può diventare risorsa di mediazione, ma che richiede una sorveglianza costante sulle infrastrutture nazionali più critiche, dai porti di Augusta e Civitavecchia fino all’hub cloud di Bari.

Cosa aspettarsi adesso?

Le prossime settimane potrebbero giocarsi su tre possibili vie. La più probabile (circa 50%) è un’escalation “contenuta”: Iran e Israele continuano a colpirsi con proxy, droni e blitz cyber, ma evitano di toccare il suolo americano; il prezzo del petrolio resta ballerino e i gruppi hacktivisti filoiraniani possono disturbare porti e reti OT europee, BlueMed compresa. Con un terzo di probabilità si profila il cybershock sistemico: Teheran rilascia un wiper devastante su finanza o energia israeliane che, via supply-chain software, contagia anche Ue e USA fermando banche, hub logistici e industrie; l’Italia, snodo del Mediterraneo, ne subirebbe l’onda lunga. Più remota (circa 20%) la de-escalation negoziata: G7 e Bruxelles strappano un cessate-il-fuoco, la guerra cyber scende sotto soglia e si riapre, almeno in parte, il dialogo sul nucleare; per Roma e l’Europa sarebbe l’occasione di rafforzare sicurezza energetica e cooperazione digitale, giocando il ruolo di ponte fra Gerusalemme e Teheran.

Il futuro a breve non promette tregua. Qualunque scenario prevalga, i prossimi mesi vedranno più droni e razzi dei proxy, nuove offensive cyber su logistica ed energia europee e campagne di disinformazione per dividere l’opinione pubblica. Rinforzare la resilienza dei cavi sottomarini e delle dorsali cloud, e tenere vivo un doppio canale diplomatico con entrambe le capitali, non è solo prudenza: è l’assicurazione minima per navigare un Mediterraneo sempre più ibrido, dove missili e malware viaggiano ormai nella stessa traiettoria.

(Foto: U.S. Air Force photo/Staff Sgt. Bennie J. Davis III)