Dal conflitto in Iran a una cyberguerra globale: 1.245 attacchi in meno di due mesi ridisegnano i confini del rischio per le imprese del Vecchio Continente
Quando le bombe cadono sul Golfo Persico, i server europei entrano in guerra … senza saperlo
di Antonio Di Ieva
La guerra in Iran è iniziata il 28 febbraio. Quella contro il Libano il 2 marzo. Missili, caccia, comunicati, bollettini. Tutto quello che una guerra dovrebbe avere per essere riconosciuta come tale. Le tracce si leggono come crateri, come macerie, come colonne di profughi e come crisi dei mercati mondiali nei telegiornali.
L’altra, quella che non compare nei telegiornali, era già cominciata prima. Non ha date. Non ha uniformi. Non ha confini da ridisegnare. Le tracce si leggono nei log di sistema, nelle anomalie di traffico notturno, nei server che rispondono un secondo troppo tardi.
In meno di sessanta giorni dal 28 febbraio, Hackmanac — società di threat intelligence con sede a Dubai, integrata nel sistema istituzionale italiano della cybersecurity come co-autrice del Rapporto CLUSIT — ha registrato 1.245 attacchi cyber in 14 paesi, orchestrati da 99 distinti gruppi. Israele è il paese più colpito per frequenza: 603 attacchi, quasi dieci al giorno. Iran ed Emirati Arabi Uniti registrano la severità media più elevata — attacchi meno numerosi, più penetranti, più costosi da contenere. È una logica militare applicata al codice: si bombarda il nemico diretto con volume, si colpisce quello indiretto con precisione.
I settori nel mirino non sono casuali: governo e strutture militari, finanza, media. Chi attacca questi tre pilastri punta al cuore di qualunque democrazia — la capacità di governare, di far circolare la ricchezza, di formare l’opinione pubblica.
Powered AI
Il quadro non è improvvisato. Il Rapporto CLUSIT 2026 registra per il 2025 il peggior anno mai documentato dall’associazione italiana per la sicurezza informatica — 5.265 incidenti gravi nel mondo, quasi il doppio rispetto a quattro anni prima. In quattro anni gli attacchi gravi globali sono più che raddoppiati, e poi raddoppiati ancora: +157% dal 2021 al 2025. Il +49% segnato nell’ultimo anno è il tasso di crescita annuale più alto mai registrato.
L’Italia si trova in una posizione scomoda in questa classifica. Assorbe quasi un attacco grave su dieci a livello mondiale — il 9,6% degli incidenti globali — pur rappresentando circa il 2% del PIL globale. In numeri assoluti: 507 attacchi documentati nel 2025, il 42% in più rispetto all’anno precedente. A fronte di questo, il Paese destina alla cybersecurity lo 0,13% del PIL. La media G7 è circa il doppio. Il divario non è tecnico. È politico.
Le imprese europee non sono obiettivi diretti, ma sono esposte attraverso meccanismi che la pandemia ha accelerato e che nessuna normativa ha ancora pienamente neutralizzato. Il primo è la supply chain tecnologica: un fornitore compromesso trascina con sé tutti i clienti che condividono la stessa piattaforma. Il secondo è la dipendenza strutturale da provider americani — Microsoft, Amazon, Google — le cui infrastrutture riflettono le stesse tensioni geopolitiche dei loro governi. Il terzo, più sottile, è la disinformazione: le campagne di manipolazione dell’informazione destabilizzano i mercati e precondizionano l’opinione pubblica prima ancora che un attacco tecnico diventi necessario.
“Le aziende, anche quelle lontane dal teatro operativo, sono già nel mirino: attraverso fornitori compromessi, piattaforme condivise, campagne di disinformazione. L’AI amplifica tutto questo, sia come vettore di attacco che come strumento di difesa. Chi non si dota di capacità di threat intelligence oggi, domani si troverà a gestire una crisi senza strumenti” — Sofia Scozzari, CEO di Hackmanac, aprile 2026.
L’intelligenza artificiale è il moltiplicatore che ha cambiato l’equazione. Secondo ENISA, più di otto campagne di phishing su dieci nel mondo usano già l’AI per personalizzare i messaggi, rendere credibili le comunicazioni fraudolente, aumentare il tasso di successo degli attacchi. Non è un fenomeno emergente: è già la norma. Emergono nel frattempo sistemi interamente malevoli — FraudGPT, Xanthorox AI — progettati per automatizzare lo sviluppo di malware su scala industriale. Sul fronte difensivo, l’AI consente threat intelligence in tempo reale. La sfida è che la velocità dell’attacco supera ancora quella della difesa.
Il Rapporto ENISA 2025, che analizza 4.875 incidenti nell’UE in un solo anno, certifica qualcosa di più profondo di una semplice crescita numerica: le linee di separazione tra criminalità organizzata, hacktivismo politico e operazioni statali si dissolvono. Gli stessi strumenti vengono usati per rapinare una banca, manipolare un’elezione, sabotare un gasdotto. I confini del teatro di guerra coincidono ormai con i confini di internet.
La direttiva NIS2 e il Cyber Resilience Act stanno ridisegnando gli obblighi per le organizzazioni pubbliche e private. Sono strumenti necessari. Sono strumenti lenti. Nel frattempo il gap tra la velocità con cui gli attaccanti evolvono e quella con cui i difensori si aggiornano si allarga ogni giorno.
Le guerre in Iran e in Libano si sentiranno finire, prima o poi. Ci saranno un cessate il fuoco, delle date, dei comunicati.
L’altra continua nei log, nelle anomalie, nei server. Continua adesso, mentre leggi. Ci sarà solo, forse, un giorno, un server che risponde di nuovo nei tempi giusti. E nessuno saprà dire per quanto tempo non sia stato così.
PER LA TUA PUBBLICITA’ SCRIVI A: info@prpchannel.com