Articolo Aggiornato il 12/06/2026 da Francesco Polimeni
Contenuto
- Spyware in guerra: casi confermati e il rischio nascosto
- Spyware militare: come funziona e perché gli Stati lo vogliono
- I casi documentati: da Pegasus a X-Agent
- Il problema della controspionage: anche gli alleati spiano
- Il vuoto legale: cosa si applica durante un conflitto armato?
- Perché quello che sappiamo è solo la punta dell’iceberg
- Cosa significa per la sicurezza di aziende e istituzioni italiane
- Come si rileva uno spyware su un dispositivo: il ruolo del TSCM
- Proteggi le tue comunicazioni con Polinet S.r.l.
- FAQ
- Autore
Spyware in guerra: casi confermati e il rischio nascosto
Lo spyware commerciale — venduto come strumento antiterrorismo — viene impiegato nei conflitti armati moderni per colpire militari, giornalisti e funzionari governativi. Secondo un’analisi pubblicata l’11 giugno 2026 da Tech Policy Press, i casi forensicamente confermati riguardano Iran, Gaza, Ucraina, Nagorno-Karabakh e Siria, ma gli esperti avvertono che si tratta solo della punta dell’iceberg. techpolicy
Come specialista TSCM con oltre vent’anni di attività sul campo — e con esperienze dirette nel controspionaggio — posso affermare che quanto emerge da questa ricerca non sorprende chi lavora nella protezione delle comunicazioni. Sorprende, semmai, che il tema resti ancora fuori dal dibattito pubblico italiano.
Identificare, tracciare e validare obiettivi militari in tempo reale attraverso i dati del dispositivo compromesso.
Caso documentato
Iran 2025 — compromissione delle guardie del corpo per localizzare il Presidente Pezeshkian
Intercettare comunicazioni, movimenti e piani del nemico. Monitorare personale compromesso e attività di controspionaggio.
Caso documentato
Ucraina 2016 — X-Agent di Fancy Bear contro unità di artiglieria (CrowdStrike)
Manipolare percezioni e decisioni dell’avversario. Diffondere disinformazione mirata attraverso dispositivi compromessi.
Caso documentato
Iran 2026 — CIA usa Pegasus per inviare messaggi falsi ai Pasdaran (Times of London)
Spyware militare: come funziona e perché gli Stati lo vogliono
Lo spyware commerciale è originariamente commercializzato come strumento per combattere il terrorismo e i reati gravi. Negli ultimi anni, tuttavia, è comparso in modo crescente nelle operazioni militari e di intelligence di diversi paesi.
Le applicazioni in contesto bellico si articolano su tre assi principali.
Il primo è il targeting e la raccolta di intelligence sul campo: identificare, tracciare e validare obiettivi militari attraverso i dati estratti dai dispositivi compromessi. Il secondo è lo spionaggio e il controspionaggio militare: ottenere informazioni sensibili sulle comunicazioni, i movimenti e i piani del nemico. Il terzo — spesso sottovalutato — è l’operazione psicologica e di inganno: manipolare le percezioni dell’avversario, diffondere disinformazione, condizionare le decisioni tattiche.
Gli Stati attribuiscono grande valore a queste capacità perché possono fornire un vantaggio strategico decisivo rispetto agli avversari che non le possiedono. Tuttavia, queste tecnologie di livello militare possono causare gravi danni ai diritti umani e creare rischi significativi di controspionaggio.
I casi documentati: da Pegasus a X-Agent
Iran, giugno 2025: i telefoni delle guardie del corpo come vettore d’attacco
Il 16 giugno 2025, cacciabombardieri israeliani colpirono un bunker dove era in corso una riunione d’emergenza alla quale partecipavano figure chiave iraniane, tra cui il presidente Masoud Pezeshkian, i vertici della magistratura, del ministero dell’intelligence e alti comandanti militari. Nessuno dei funzionari portava con sé un telefono cellulare, consapevoli che l’intelligence israeliana poteva tracciarli.
Secondo un’inchiesta del New York Times, le forze israeliane furono guidate alla riunione compromettendo i telefoni delle guardie del corpo che avevano accompagnato i leader iraniani sul posto e che attendevano all’esterno.
Dal punto di vista TSCM, questo caso illustra una vulnerabilità sistematicamente sottovalutata: proteggere il dispositivo del bersaglio principale non è sufficiente. L’intera catena di persone nell’orbita del soggetto — scorte, assistenti, autisti — rappresenta una superficie d’attacco. Un principio che Polinet S.r.l. applica nelle ispezioni di sicurezza per delegazioni istituzionali e aziendali.
Gaza: Pegasus per tracciare i movimenti di Hamas
Secondo quanto riportato da Axios nel novembre 2023, diverse agenzie israeliane starebbero utilizzando lo spyware Pegasus di NSO Group. “Pegasus può essere usato per accedere ai segnali dei telefoni cellulari e valutare chi si trovava sul terreno durante l’attacco a sorpresa di Hamas e i movimenti di quei segnali prima e dopo l’attacco”, secondo una fonte anonima con diretta conoscenza delle operazioni di NSO.
NSO avrebbe inoltre costituito una cosiddetta “war room”, riunendo altre aziende simili ed ex dipendenti NSO per tracciare e sbloccare telefoni appartenenti a persone uccise o scomparse, nonché a presunti terroristi.
Ucraina 2016: X-Agent contro le unità di artiglieria
Questo è uno dei casi forensicamente più solidi. Nel 2016, CrowdStrike documentò il dispiegamento sul campo di battaglia dello spyware X-Agent — per iOS e Android — contro le unità di artiglieria ucraine da parte del gruppo di cyber-spionaggio Fancy Bear, probabilmente collegato all’agenzia di intelligence militare russa (GRU).
Il malware poteva attivare il microfono del dispositivo per registrare audio e raccogliere, tra gli altri dati, messaggi di testo, rubriche, foto e informazioni di geolocalizzazione.
Tradotto in termini operativi: i comandi di fuoco ucraini erano esposti in tempo reale. Posizione, comunicazioni, ordini. L’impatto tattico di un’infiltrazione di questo tipo è paragonabile a quello di una spia fisica all’interno dello stato maggiore.
Nagorno-Karabakh: Pegasus contro giornalisti e funzionari armeni
Nel 2023, un’indagine congiunta della società civile confermò forensicamente che almeno dodici figure pubbliche e funzionari armeni, tra cui giornalisti e difensori dei diritti umani, erano stati presi di mira con lo spyware Pegasus di NSO Group nel contesto del conflitto nel Nagorno-Karabakh tra il 2020 e il 2022. Si tratta della prima evidenza documentata dell’uso di Pegasus in un contesto di guerra internazionale.
Siria: SpyMax contro gli ufficiali dell’esercito di Assad
In Siria, ufficiali dell’esercito di Assad furono compromessi attraverso un’app che distribuiva SpyMax, uno strumento di sorveglianza Android ampiamente utilizzato, come riportò New Lines Magazine nel 2025. Il malware consentiva il keylogging per rubare password e intercettare messaggi, estraeva file riservati, foto e registri delle chiamate, e accedeva alla fotocamera e al microfono per la sorveglianza in tempo reale.
Il numero di telefoni compromessi è difficile da determinare con precisione, ma probabilmente si conta “nelle migliaia”. L’elemento distintivo di questo attacco di phishing, “primitivo ma devastante”, sembra essere stato la compromissione di un’intera istituzione militare.
| Caratteristica | Pegasus | X-Agent | SpyMax |
|---|---|---|---|
| Sviluppatore | NSO Group (Israele) | Fancy Bear / GRU Russia | Tool RAT commerciale |
| Sistema operativo | iOS + Android | iOS + Android | Android |
| Vettore d’attacco | Zero-click / link malevolo | App trojanizzata | App trojanizzata / phishing |
| Microfono / camera | Sì | Sì | Sì |
| GPS / posizione | Sì | Sì | Sì |
| Keylogging | Sì | Sì | Sì |
| Sopravvive al reset | Sì (kernel) | Parziale | No |
| Difficoltà di rilevamento | Molto alta | Alta | Media |
| Conflitti documentati | Gaza, Nagorno-Karabakh, Iran | Ucraina (2016) | Siria (2024–25) |
Iran, aprile 2026: spyware come arma di inganno
Secondo quanto riferito da AP a marzo, l’Iran aveva compromesso dispositivi Android di israeliani in fuga da un attacco missilistico iraniano, in un’operazione che richiedeva un coordinamento sofisticato. Le vittime ricevevano un messaggio con un link che pretendeva di fornire informazioni in tempo reale sui rifugi antiaerei. Il link era però malevolo e installava uno spyware, dando agli hacker accesso alla fotocamera, alla posizione e a tutti i dati del dispositivo.
Più di recente, secondo un rapporto del Times of London, la CIA avrebbe utilizzato lo spyware Pegasus di NSO Group per condurre una campagna di inganno in Iran nell’ambito degli sforzi per recuperare due aviatori americani abbattuti all’inizio di aprile. Il rapporto sosteneva che l’agenzia di intelligence americana aveva usato Pegasus per inviare messaggi alla leadership iraniana e agli operativi dei Pasdaran, affermando falsamente che l’aviatore americano abbattuto era già stato ritrovato.
| Conflitto | Anno | Spyware | Attore | Uso | Fonte |
|---|---|---|---|---|---|
| Iran | 2025 | Non identificato / NSO | Israele (attribuito) | Targeting — compromissione scorte | New York Times |
| Gaza | 2023–2024 | Pegasus | Israele (attribuito) | Intelligence sul campo | Axios |
| Ucraina | 2016 | X-Agent | Fancy Bear / GRU Russia | Targeting artiglieria | CrowdStrike (confermato) |
| Nagorno-Karabakh | 2020–2022 | Pegasus | Azerbaijan (attribuito) | Spionaggio / giornalisti | Access Now (confermato) |
| Siria | 2024–2025 | SpyMax | Non identificato | Compromissione istituzione militare | New Lines Magazine |
| Iran | 2026 | Pegasus | CIA (attribuito) | Operazione di inganno | Times of London |
Il problema della controspionage: anche gli alleati spiano
Un caso particolarmente significativo riguarda proprio gli Stati Uniti. Un nuovo rapporto della Defense Intelligence Agency americana fu provocato da episodi in cui personale della difesa statunitense in Israele scoprì spyware installato segretamente sui propri telefoni per intercettare le loro comunicazioni, evidenziando i gravi rischi di controspionaggio associati a questa tecnologia.
Non si tratta di un caso isolato. Nella mia esperienza di ispezioni TSCM su ambienti diplomatici e aziendali, una delle prime domande che pongo è: chi ha avuto accesso fisico ai dispositivi nelle ultime 72 ore? La minaccia non viene solo dall’avversario dichiarato.
Il vuoto legale: cosa si applica durante un conflitto armato?
La supervisione legale scompare in gran parte durante i conflitti armati. Il dispiegamento di spyware in contesti bellici avviene spesso su basi giuridiche poco chiare, con garanzie fondamentali — come la previa autorizzazione giudiziaria e i requisiti di necessità, proporzionalità e supervisione post-sorveglianza — frequentemente del tutto assenti.
In un conflitto si applica il diritto internazionale umanitario, che vieta il targeting deliberato o indiscriminato di civili, personale umanitario e altre parti protette. “Lo spyware non può essere usato per molestare, intimidire e divulgare dati di civili, prigionieri di guerra e altri individui protetti”, ha dichiarato Natalia Krapiva, Senior Tech-Legal Counsel di Access Now, a Tech Policy Press.
Ai sensi del diritto penale internazionale, sebbene l’uso di spyware non costituisca di per sé un reato, può rientrare nella condotta che forma la base di crimini di guerra, crimini contro l’umanità o genocidio, se usato per colpire e perseguitare civili e altre popolazioni protette.
Il problema pratico è di natura forense. Anche in tempo di pace, lo spyware è spesso difficile da rilevare e documentare; in contesti di conflitto, queste difficoltà si amplificano. L’accesso ai dispositivi compromessi può essere impossibile, le indagini forensi possono essere ritardate o impraticabili, e le prove critiche possono essere distrutte, perse o rese inaccessibili.
Perché quello che sappiamo è solo la punta dell’iceberg
I casi documentati finora abbracciano più conflitti, governi e tecnologie spyware. I ricercatori avvertono, tuttavia, che questi episodi rappresentano probabilmente solo una frazione della reale portata dell’uso di spyware in tempo di guerra.
“Dai casi che conosciamo e abbiamo documentato, sospettiamo che ci sia molto più spyware usato nei conflitti di quanto sappiamo”, ha affermato Krapiva. Poiché lo spyware è progettato specificamente per eludere il rilevamento, e poiché i conflitti armati creano ostacoli significativi alle indagini forensi, la vera portata del suo dispiegamento potrebbe non essere mai conosciuta.
Dal punto di vista tecnico, questo è il dato più preoccupante. Pegasus, X-Agent e SpyMax sono le versioni che abbiamo trovato. Quante versioni non abbiamo ancora trovato?
Cosa significa per la sicurezza di aziende e istituzioni italiane
La traiettoria è chiara: gli strumenti sviluppati per i conflitti armati migrano inevitabilmente verso lo spionaggio industriale, il crimine organizzato e la sorveglianza politica. Lo abbiamo già visto con Pegasus in Europa — casi documentati in Spagna, Grecia, Ungheria — e lo vedremo ancora.
Per chi gestisce informazioni sensibili — dirigenti d’azienda, avvocati, giornalisti, funzionari pubblici — le implicazioni sono immediate: il rischio non è teorico, è statistico. I dispositivi mobili sono il vettore d’attacco preferito perché sono sempre accesi, sempre connessi, sempre con noi.
Potrebbe interessarti: Cellulare Spia: Tecniche Avanzate di Controsorveglianza
Come si rileva uno spyware su un dispositivo: il ruolo del TSCM
Il rilevamento di spyware commerciale avanzato richiede analisi forense specializzata. Le soluzioni consumer — antivirus, reset di fabbrica — non sono sufficienti contro strumenti come Pegasus, che opera a livello kernel e può sopravvivere ai ripristini.
Un’ispezione TSCM professionale sui dispositivi mobili include l’analisi dei processi attivi, del traffico di rete in uscita, delle autorizzazioni anomale, e — per i casi più critici — l’analisi della memoria volatile. Polinet S.r.l. esegue queste attività per clienti aziendali e istituzionali dal 2001, con metodologie certificate.
Proteggi le tue comunicazioni con Polinet S.r.l.
Se gestisci informazioni riservate, partecipi a trattative sensibili o ti trovi in contesti ad alto rischio, la bonifica elettronica dei tuoi dispositivi non è un’opzione: è una necessità operativa.
Polinet S.r.l. — operativa dal 2001, con Licenza ex Art. 28 T.U.L.P.S., codice NATO NCAGE AL332 e registrazione MEPA/Consip — offre ispezioni TSCM professionali su dispositivi mobili, ambienti aziendali e sale riunioni.
📞 Contattaci tramite spiare.com per una consulenza riservata.
FAQ
Lo spyware militare può colpire anche i civili?
Sì. I casi documentati in Nagorno-Karabakh, Siria e Iran mostrano che giornalisti, funzionari e civili vengono regolarmente presi di mira con gli stessi strumenti usati in contesti militari. Lo spyware non discrimina per natura: è lo scopo del suo utilizzo a determinare la legalità dell’impiego.
Come faccio a sapere se il mio telefono è compromesso da uno spyware?
I sintomi comuni includono surriscaldamento anomalo, consumo accelerato della batteria, traffico dati in uscita non giustificato e comportamenti insoliti delle app. Tuttavia, gli spyware avanzati come Pegasus sono progettati per non lasciare tracce visibili. L’unico metodo affidabile è un’analisi forense specializzata.
Pegasus è ancora attivo nel 2026?
Sì. NSO Group continua a operare e Pegasus viene citato in casi recenti, incluse operazioni attribuite alla CIA nel 2026. Il software viene aggiornato costantemente per aggirare le patch di sicurezza di iOS e Android.
Un’azienda privata italiana può essere bersaglio di spyware militare?
Il rischio dipende dal settore e dai soggetti con cui si interagisce. Aziende attive nella difesa, nell’energia, nella tecnologia o con interessi in aree geopoliticamente sensibili sono esposte. Lo spionaggio industriale utilizza gli stessi vettori — e spesso gli stessi strumenti — dello spionaggio militare.
Cosa fa concretamente un’ispezione TSCM su dispositivi mobili?
Un’ispezione professionale analizza il traffico di rete generato dal dispositivo, i processi attivi in background, le autorizzazioni concesse alle app, e — nei casi critici — la memoria volatile. Polinet S.r.l. esegue queste verifiche con strumentazione certificata e protocolli riservati.
