La guerra fra Iran e Israele sta suscitando preoccupazioni significative in materia di sicurezza cibernetica. Non soltanto nei due Paesi direttamente coinvolti, ma anche in Stati apparentemente non connessi direttamente al conflitto militare.
Questo scenario è stato delineato da numerose analisi prodotte da enti internazionali specializzati nella sicurezza informatica, come evidenziato da avvisi congiunti recentemente diffusi da organizzazioni statunitensi quali IT-Isac (Information Technology Information Sharing and Analysis Center) e Food & Agriculture Isac.
Questi organismi, il 13 giugno 2025, hanno raccomandato a istituzioni e aziende di adottare precauzioni aggiuntive, poiché eventuali attacchi cibernetici diretti verso Israele potrebbero indirettamente colpire infrastrutture critiche globalmente interconnesse, incluse quelle occidentali.
Indice degli argomenti
La guerra Iran – Israele e l’impatto cyber
Il 16 giugno scorso, il Wall Street Journal ha evidenziato come, nonostante l’escalation in Iran, la maggior parte dei tentativi iraniani nel cyberspazio si sia rivelata più una forma di “spill-over” psicologico che veri attacchi distruttivi.
Un advisory congiunto di agenzie di intelligence statunitensi, britanniche, israeliane e canadesi ha infatti messo in guardia le aziende sul rischio che compromissioni dirette in Medio Oriente possano ricadere sulle loro reti, pur riconoscendo che finora i risultati operativi significativi sono stati pochi.
John Hultquist di Google Threat Intelligence Group ha sottolineato che “molte di queste operazioni hanno uno scopo più psicologico che pratico, e gli attori iraniani tendono a esagerare i loro successi” per massimizzare l’impatto mediatico.
L’Iran è tra i principali cyber avversari del G7
Da almeno il 2017, l’Iran figura tra i principali avversari informatici del G7, come riportato in ripetuti rapporti CISA e Mandiant che ne documentano le attività APT su scala globale.
Numerose attività informatiche dannose, attribuite da agenzie di intelligence occidentali a gruppi sostenuti direttamente o indirettamente dal governo iraniano, hanno in passato preso di mira obiettivi sensibili sia in Israele che in altre nazioni occidentali.
Tra gli episodi documentati e confermati emerge l’attacco alla Municipal Water Authority di Aliquippa (25 novembre 2023): il gruppo autodefinitosi CyberAv3ngers ha compromesso un booster station visualizzando messaggi anti-israeliani, come dettagliato nell’advisory CISA AA23-335A.
Sebbene l’azione non abbia comportato interruzioni significative del servizio idrico, ha avuto carattere fortemente simbolico con la visualizzazione di messaggi propagandistici.
Il 28 agosto 2024 l’Agenzia di Cybersecurity e Infrastrutture degli Stati Uniti (CISA) ha pubblicato l’advisory AA24-241A, nel quale venivano illustrate le tecniche di abilitazione di ransomware e di compromissione di rete (CNE) adottate da gruppi quali UNC757 e Lemon Sandstorm, con focus su infrastrutture chiave e supply chain negli Stati Uniti.
Il 14 agosto 2024 il Google Threat Analysis Group (Tag) ha descritto in un post ufficiale le campagne di phishing mirato condotte da APT42, considerato vicino al Corpo delle Guardie rivoluzionarie islamiche (IRGC).
Google TAG ha osservato come APT42 impieghi domini spoofati di testate giornalistiche e istituzioni governative, per colpire giornalisti, dissidenti e accademici di alto profilo.
Guerra Iran – israele: come mitigare rischi indiretti su Paesi terzi
La particolarità della minaccia cyber legata al conflitto Iran-Israele risiede anche nel suo potenziale impatto indiretto su infrastrutture e aziende di Paesi terzi, compresa l’Europa e l’Italia.
Questo effetto domino potrebbe manifestarsi attraverso compromissioni indirette lungo catene di fornitura tecnologica o reti condivise, incluse infrastrutture cloud e fornitori esterni connessi ad aziende occidentali.
Di conseguenza, si pone sempre più attenzione su come mitigare rischi indiretti, tramite il potenziamento delle capacità di threat intelligence e monitoraggio continuo.
L’uso tattico di gruppi sotto falsa bandiera
Un aspetto emergente della postura iraniana nel cyberspazio è l’uso tattico di gruppi non statali o semi-autonomi per condurre operazioni cyber sotto falsa bandiera, consentendo a Teheran di mantenere una plausibile negabilità. Analisi di Mandiant e Microsoft hanno evidenziato come gruppi come UNC757 e Nemesis Kitten (tracciato anche come DEV-0270) operino in una zona grigia tra interessi governativi e modalità operative tipiche del cybercrime.
In diverse campagne documentate, questi attori hanno utilizzato strumenti di cifratura legittima come BitLocker per bloccare i dati delle vittime, simulando attacchi ransomware.
Tuttavia, la finalità primaria non era l’estorsione economica, bensì la distruzione dei sistemi o la creazione di disservizi duraturi, con richieste di riscatto formulate solo per mascherare l’intento sabotatore.
Lo scenario italiano
In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN), attraverso le linee guida pubblicate nel 2024 in attuazione della legge n. 90 dello stesso anno, ha già introdotto indicazioni operative precise per la gestione proattiva delle minacce emergenti.
Queste linee guida raccomandano procedure rigorose di valutazione dei rischi, gestione degli incidenti e cooperazione nella condivisione di informazioni tra il settore pubblico e privato tramite il CERT nazionale.
Il ruolo della Direttiva NIS 2 per aumentare la resilienza
Parallelamente, a livello europeo, è richiesto entro il 17 ottobre 2024 il recepimento da parte degli stati membri della direttiva NIS 2, entrata in vigore nel gennaio 2023, che obbliga enti pubblici e aziende private che gestiscono servizi essenziali o forniture digitali a rispettare requisiti di sicurezza adeguati e proporzionati alla gravità del rischio cyber.
Anche l’adozione di standard tecnici internazionali come l’ISO/IEC 27001:2022 è fortemente consigliata dagli enti regolatori europei per garantire una gestione strutturata e continua della sicurezza delle informazioni.
Per rafforzare ulteriormente la resilienza globale nei confronti di queste minacce, viene suggerita anche una partecipazione attiva e costante nelle comunità di condivisione delle informazioni (ISAC e ISAO), oltre alla realizzazione regolare di esercitazioni di risposta agli incidenti (table-top exercises).
Questo approccio permette di garantire una risposta coordinata e rapida alle minacce emergenti, contribuendo efficacemente a mitigare gli eventuali danni derivanti da attacchi cyber, sia diretti che indiretti.
In definitiva, il contesto geopolitico odierno richiede uno sforzo costante, coordinato e condiviso nella gestione della sicurezza informatica, non solo da parte dei Paesi direttamente coinvolti nei conflitti, ma anche da parte di quelli indirettamente esposti, con l’obiettivo di ridurre sensibilmente i rischi e garantire continuità operativa e sicurezza globale.
