Quando il segnale muore, il potere vince: il blackout digitale dell’Iran

A volte le cose importanti non arrivano in conferenza stampa. Arrivano come un grafico che smette di respirare: la linea della connettività che crolla, l’OSINT che si inaridisce, il rumore che cresce perché il segnale sparisce.

In Iran, la crisi interna e la dimensione cyber stanno entrando nella stessa stanza. E quando succede, la domanda non è più solo «che cosa sta accadendo?», ma «chi sta controllando la prova di ciò che accade?».

In sintesi

• Lo shutdown della connettività in Iran è un moltiplicatore operativo: riduce l’OSINT, comprime il coordinamento interno e altera la percezione esterna degli eventi.
• Le agenzie occidentali (in particolare Stati Uniti, Regno Unito, Canada, UE) mantengono una postura di heightened vigilance, con avvisi pubblici che funzionano anche come deterrenza.
• Il modello di minaccia ricorrente privilegia accesso identity-first (spraying/brute force, social engineering), hack-and-leak a fini psicologici e interesse per OT/ICS come leva asimmetrica.
• Per chi difende reti e infrastrutture, la priorità è separare segnali da rumore: telemetria di connettività, bollettini governativi e indicatori OT/ICS verificabili.

1. La crisi: quando la rete si spegne, lo scenario cambia

In Iran, la dimensione politica e quella digitale si stanno sovrapponendo. Alle proteste e alla repressione si affianca una scelta tecnica e strategica: l’interruzione o la limitazione della connettività su scala nazionale. Non è soltanto censura: è un modo per ridurre la prova, comprimere il coordinamento e governare la percezione.

Le stime su vittime e arresti circolano soprattutto tramite organizzazioni per i diritti umani e vengono riprese dai media con cautela. Sono numeri difficili da verificare in modo indipendente proprio a causa del blackout e delle restrizioni.

2. Il blackout come tecnologia di ordine pubblico

In un contesto di disordine interno, lo shutdown produce quattro effetti immediati:

1. abbassa la capacità di mobilitazione e coordinamento;
2. degrada la raccolta OSINT;
3. aumenta la latenza decisionale degli attori esterni;
4. crea spazio per la propaganda, perché il vuoto informativo viene riempito rapidamente.

Per chi lavora in cyber-intelligence, il punto è semplice: quando “manca il segnale” non significa che manchi l’evento; significa che il campo è stato deliberatamente reso opaco.

3. Cosa stanno facendo le principali agenzie d’intelligence: vigilanza, deterrenza, coordinamento

3.1 Stati Uniti (CISA, FBI, NSA, DC3, DHS)

La postura statunitense si articola su due livelli.
Il primo è tecnico-operativo: avvisi e fact sheet che richiamano l’attenzione su attori iraniani o affiliati, sulla probabilità di targeting verso reti vulnerabili e sulla necessità di hardening e patching.
Il secondo è politico-strategico: rendere pubblico il rischio equivale spesso a rendere pubblica una soglia di attenzione — e quindi a costruire deterrenza.

Nel perimetro homeland, la cornice di sicurezza interna viene rafforzata da bollettini su un heightened threat environment, con riferimento sia a cyberattacchi di basso livello da parte di attori pro-Iran sia a intrusioni più sofisticate riconducibili ad attori statali.

3.2 Regno Unito (NCSC)

La lettura britannica è coerente con un approccio da state threat: l’Iran viene descritto come un attore che concentra le operazioni cyber a supporto di obiettivi militari e geopolitici, con meno enfasi sul dettaglio tecnico e maggiore chiarezza sull’intenzione strategica.

3.3 Canada (Canadian Centre for Cyber Security, CSIS)

Il Canada sottolinea un punto rilevante anche per la sicurezza europea: anche quando un Paese non è un target primario, può diventare una vittima indiretta o collaterale a causa delle interconnessioni nei settori critici. In parallelo, il contesto informativo evidenzia come l’ostilità iraniana possa includere coercizione e pressione transnazionale, oltre alla componente cyber.

3.4 Unione Europea (CERT-EU)

CERT-EU, nei suoi Cyber Brief, ha documentato campagne di cyber-espionage attribuite a cluster Iran-linked (ad esempio UNC1549), con spear-phishing multi-settore in Europa. È il livello “silenzioso” della minaccia: accesso, raccolta, persistenza, più che spettacolo.

4. Modello di minaccia ricorrente: identità, hack-and-leak, OT/ICS

Spogliando il dossier dai dettagli “da feed”, emergono tre linee operative ricorrenti, coerenti con la documentazione pubblica delle agenzie:

• Identity-first: spraying/brute force, riuso di credenziali, social engineering e abuso delle catene di fiducia.
• Hack-and-leak e information operations: l’intrusione serve anche a produrre narrativa e a degradare la fiducia.
• OT/ICS come moltiplicatore: anche un impatto limitato su sistemi industriali può produrre un effetto strategico elevato in termini di paura, costi e percezione di vulnerabilità.

Sul fronte OT/ICS è rilevante la documentazione pubblica su campagne attribuite a persona IRGC-affiliata (CyberAv3ngers), che hanno coinvolto PLC Unitronics e settori multipli, inclusi sistemi idrici e wastewater.

5. Indicatori OSINT e monitoraggio nelle prossime 72 ore: segnali vs rumore

In un ambiente segnato da blackout e propaganda, la disciplina è separare ciò che è verificabile da ciò che è solo performativo. Una griglia minima di indicatori include:

• Telemetria di connettività (durata, selettività, finestre di riaccensione).
• Nuovi advisory governativi (CISA/FBI/NSA; NCSC; Cyber Centre; CERT-EU): segnali “pesanti” perché basati su evidenza e TTP/IOC.
• Evidenza OT/ICS: compromissioni o exploitability su asset esposti, in particolare in piccole utility e presso integratori.
• Hacktivism: rivendicazioni e leak contano solo se accompagnati da evidenza tecnica verificabile e coerente.
• Evoluzione geopolitica: escalation verbale, sanzioni o azioni cinetiche aumentano la probabilità di ritorsioni cyber e operazioni proxy.

6. Cinque mosse da dossier: cosa fare adesso (PA, infrastrutture, aziende)

Non è una check-list “da compliance”. È una lista corta, da crisi, per ridurre la superficie e aumentare la resilienza:

1. Identità come perimetro: controllo su spraying, MFA resistente al push-bombing, conditional access e audit delle credenziali.
2. Patch management guidato dall’intelligence: priorità a vulnerabilità note e attivamente sfruttate, con focus sugli asset critici.
3. OT/ICS: inventario, segmentazione, rimozione di esposizioni internet-facing, credenziali robuste e controllo degli accessi remoti.
4. Crisis communication anti-disinformazione: tempi chiari, perimetro definito, fatti verificati e trasparenza operativa per proteggere la fiducia.
5. Scambio informativo: canali diretti con CSIRT, fornitori e settore; esercitazioni e playbook condivisi prima dell’incidente.

Conclusione

L’Iran, in questa fase, offre un promemoria operativo: la crisi non deve “esplodere” per essere strategica. Basta degradare abbastanza la connettività, la prova e la fiducia.
Nella zona grigia, la deterrenza non è un comunicato: è una probabilità costruita da posture, capacità di osservazione, ripristino rapido e conseguenze credibili.

E quando il rumore sale mentre il segnale scende, raramente è per caso. È perché qualcuno, da qualche parte, ha deciso che l’opacità è un vantaggio.

Fonti aperte principali

• Reuters (11 gennaio 2026): proteste in Iran; stime HRANA su vittime e arresti; impossibilità di verifica indipendente.
• NetBlocks e riprese stampa (es. ANSA, 11 gennaio 2026): conferme e aggiornamenti su blackout di connettività.
• CISA / FBI / NSA / DC3 (30 giugno 2025): Joint Statement e Fact Sheet su rischio di targeting da attori cyber iraniani.
• NCSC (Regno Unito), Annual Review 2025: valutazione sulla concentrazione delle operazioni cyber iraniane a supporto di obiettivi militari/geopolitici.
• Canadian Centre for Cyber Security (9 luglio 2025): bulletin su rischio per il Canada come vittima collaterale per interconnessioni CI.
• CERT-EU Cyber Brief 25-10 (ottobre 2025) e 26-01 (dicembre 2025): campagne Iran-linked in Europa (UNC1549; MuddyWater).
• CISA AA23-335A (18 dicembre 2024): attori cyber IRGC-affiliati (CyberAv3ngers) e compromissioni di PLC Unitronics in più settori.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Roberto Villani

Dilettante nel cyberspazio, perenne studente di scienze politiche, sperava di conoscere Stanley Kubrick per farsi aiutare a fotografare dove sorge il sole. Risk analysis, Intelligence e Diritto Penale sono la sua colazione da 30 anni.

Aree di competenza: Geopolitica, cyber warfare, intelligence, Diritto penale, Risk analysis