Da oltre 48 ore l’Iran è quasi completamente disconnesso dal resto del mondo. La connettività internet è crollata all’1% dei livelli ordinari: un dato registrato dall’osservatorio indipendente NetBlocks, che ha attribuito il blackout a un’interruzione imposta dal regime su scala nazionale.
Non è la prima volta. A gennaio, un blackout analogo era durato diverse settimane, oscurando (sempre secondo NetBlocks) “gravi violazioni dei diritti umani” nel pieno di proteste diffuse nel paese.
L’interruzione della rete è uno strumento rodato: l’Iran vi ricorre sistematicamente durante le crisi interne, per limitare la circolazione delle informazioni verso l’esterno e soffocare il dissenso interno. Due obiettivi distinti, un unico interruttore.
Il blackout attuale non è però totale. Secondo l’analista Doug Madory di Kentik, le minime tracce di connettività ancora rilevabili sarebbero riconducibili a un sistema di whitelisting introdotto dal governo.
Questo prevede eccezioni costruite su misura per i gruppi fedeli al regime, che mantengono un accesso selettivo alla rete mentre il resto della popolazione resta al buio.
Il fronte digitale in Iran
Il blackout si inserisce in un quadro più ampio. Nella mattina di sabato, in parallelo ai raid militari congiunti di Usa e Israele su obiettivi iraniani, si è sviluppata un’ondata di operazioni informatiche contro l’infrastruttura digitale del paese.
Diversi siti di informazione filo-governativi sono stati compromessi e utilizzati per diffondere messaggi non autorizzati. Colpita anche BadeSaba, una app di calendario religioso con oltre 5 milioni di download, che ha iniziato a mostrare agli utenti avvisi che esortavano le forze armate a “deporre le armi e unirsi al popolo”, dichiarando “È l’ora dei conti”.
La scelta di BadeSaba non è casuale. “È stata una mossa intelligente”, ha spiegato Hamid Kashfi, ricercatore di sicurezza e fondatore della società DarkCell, “perché i sostenitori del governo la usano e tendono ad essere più religiosi”. In altre parole: il messaggio sovversivo è stato recapitato direttamente alla base lealista del regime, attraverso uno strumento di devozione quotidiana.
Il Jerusalem Post ha inoltre riportato che le operazioni informatiche avrebbero colpito anche sistemi governativi e militari iraniani, con l’obiettivo di limitare una risposta coordinata di Teheran.
Reuters, che cita la notizia, precisa di non aver potuto verificarla in modo indipendente. Non è un dettaglio marginale e la distinzione tra ciò che è confermato e ciò che è attribuito a una singola fonte resta essenziale in un contesto in cui la disinformazione è parte integrante del conflitto.
Ritorsione rudimentale
C’è un elemento che rovescia parzialmente la narrativa dominante: l’Iran non era in attesa. Secondo un’analisi della società di sicurezza Anomali condivisa con Reuters, gruppi di hacker legati allo stato iraniano stavano già conducendo attacchi “wiper” (operazioni progettate per cancellare dati) contro obiettivi israeliani ancora prima che i raid avessero inizio. Il conflitto informatico non ha seguito il conflitto militare: l’ha affiancato, forse preceduto.
Eppure la storia recente invita alla cautela sui toni allarmistici. A giugno 2025, dopo che gli Stati Uniti avevano colpito le strutture nucleari iraniane, la risposta cyber di Teheran fu quasi inesistente: una breve interruzione di servizi a Tirana, in Albania, e poco altro.
Nonostante l’Iran venga regolarmente citato dalle autorità americane accanto a Russia e Cina come minaccia alle reti occidentali, il comportamento reale di Teheran nei momenti di crisi è stato finora più contenuto della reputazione che lo precede.
A giugno 2025, dopo i raid sulle strutture nucleari, la risposta si è limitata a una breve interruzione di servizi a Tirana. Nei fatti, il repertorio offensivo iraniano ruota ancora prevalentemente attorno a strumenti relativamente rudimentali: attacchi DDoS, operazioni di presa di controllo di siti (per pubblicare messaggi non autorizzati), riproposizione di vecchie violazioni di dati.
Sono tecniche che fanno rumore ma che raramente producono danni strutturali alle infrastrutture che prendono di mira.
L’escalation che potrebbe arrivare
La cautela storica, però, non elimina il rischio attuale. Diverse società di sicurezza segnalano segnali concreti di attività crescente. CrowdStrike ha dichiarato di stare già rilevando “attività coerenti con attori di minaccia allineati all’Iran e gruppi hacktivisti che conducono operazioni di ricognizione e avviano attacchi DDoS”.
Halcyon ha riferito di aver registrato “call to action” tra gruppi filo-iraniani noti, che in passato hanno condotto operazioni di tipo hack-and-leak, attacchi ransomware e DDoS.
Rafe Pilling, responsabile dell’intelligence sulle minacce di Sophos, ha delineato le forme che una ritorsione potrebbe assumere: riproposizione di vecchie violazioni di dati presentate come nuove, tentativi di compromissione di sistemi industriali esposti in rete, e potenzialmente operazioni offensive dirette.
Iscriviti alla newsletter di TechTalking
I settori a rischio identificati in passato dagli analisti includono energia, telecomunicazioni, finanza e sanità, infrastrutture critiche che non si fermano ai confini del Medio Oriente.
Il conflitto in corso si combatte allora su più piani simultanei: militare, informativo, digitale. E sul piano digitale, a differenza di quello militare, i confini geografici contano molto meno.
