{"id":15192,"date":"2026-06-12T12:11:16","date_gmt":"2026-06-12T10:11:16","guid":{"rendered":"https:\/\/www.spiare.com\/blog\/?p=15192"},"modified":"2026-06-12T12:11:25","modified_gmt":"2026-06-12T10:11:25","slug":"spyware-in-guerra-casi-confermati-e-il-rischio-nascosto","status":"publish","type":"post","link":"https:\/\/www.spiare.com\/blog\/spyware-in-guerra-casi-confermati-e-il-rischio-nascosto\/","title":{"rendered":"Spyware in guerra: casi confermati e il rischio nascosto"},"content":{"rendered":"\n

Spyware in guerra: casi confermati e il rischio nascosto<\/h2>\n\n\n\n

Lo spyware commerciale \u2014 venduto come strumento antiterrorismo \u2014 viene impiegato nei conflitti armati moderni per colpire militari, giornalisti e funzionari governativi. Secondo un’analisi pubblicata l’11 giugno 2026 da Tech Policy Press, i casi forensicamente confermati riguardano Iran, Gaza, Ucraina, Nagorno-Karabakh e Siria, ma gli esperti avvertono che si tratta solo della punta dell’iceberg. techpolicy<\/a><\/p>\n\n\n\n

Come specialista TSCM<\/a> con oltre vent’anni di attivit\u00e0 sul campo \u2014 e con esperienze dirette nel controspionaggio \u2014 posso affermare che quanto emerge da questa ricerca non sorprende chi lavora nella protezione delle comunicazioni. Sorprende, semmai, che il tema resti ancora fuori dal dibattito pubblico italiano.<\/p>\n\n\n\n

\n
\n\n
\n
\n \n <\/circle><\/circle><\/line><\/line><\/line><\/line><\/svg>\n <\/span>\n Targeting<\/span>\n <\/div>\n

Identificare, tracciare e validare obiettivi militari in tempo reale attraverso i dati del dispositivo compromesso.<\/p>\n

\n

Caso documentato<\/p>\n

Iran 2025 \u2014 compromissione delle guardie del corpo per localizzare il Presidente Pezeshkian<\/p>\n <\/div>\n <\/div>\n\n

\n
\n \n <\/path><\/path><\/svg>\n <\/span>\n Spionaggio<\/span>\n <\/div>\n

Intercettare comunicazioni, movimenti e piani del nemico. Monitorare personale compromesso e attivit\u00e0 di controspionaggio.<\/p>\n

\n

Caso documentato<\/p>\n

Ucraina 2016 \u2014 X-Agent di Fancy Bear contro unit\u00e0 di artiglieria (CrowdStrike)<\/p>\n <\/div>\n <\/div>\n\n

\n
\n \n <\/path><\/path><\/svg>\n <\/span>\n Inganno psicologico<\/span>\n <\/div>\n

Manipolare percezioni e decisioni dell’avversario. Diffondere disinformazione mirata attraverso dispositivi compromessi.<\/p>\n

\n

Caso documentato<\/p>\n

Iran 2026 \u2014 CIA usa Pegasus per inviare messaggi falsi ai Pasdaran (Times of London)<\/p>\n <\/div>\n <\/div>\n\n <\/div>\n<\/div>\n\n\n\n

\n\n\n\n

Spyware militare: come funziona e perch\u00e9 gli Stati lo vogliono<\/h2>\n\n\n\n

Lo spyware<\/em><\/strong> commerciale \u00e8 originariamente commercializzato come strumento per combattere il terrorismo e i reati gravi. Negli ultimi anni, tuttavia, \u00e8 comparso in modo crescente nelle operazioni militari e di intelligence di diversi paesi. <\/p>\n\n\n\n

Le applicazioni in contesto bellico si articolano su tre assi principali.<\/p>\n\n\n\n

Il primo \u00e8 il targeting e la raccolta di intelligence sul campo<\/strong>: identificare, tracciare e validare obiettivi militari attraverso i dati estratti dai dispositivi compromessi. Il secondo \u00e8 lo spionaggio e il controspionaggio militare<\/strong>: ottenere informazioni sensibili sulle comunicazioni, i movimenti e i piani del nemico. Il terzo \u2014 spesso sottovalutato \u2014 \u00e8 l’operazione psicologica e di inganno<\/strong>: manipolare le percezioni dell’avversario, diffondere disinformazione, condizionare le decisioni tattiche.<\/p>\n\n\n\n

Gli Stati attribuiscono grande valore a queste capacit\u00e0 perch\u00e9 possono fornire un vantaggio strategico decisivo rispetto agli avversari che non le possiedono. Tuttavia, queste tecnologie di livello militare possono causare gravi danni ai diritti umani e creare rischi significativi di controspionaggio.<\/p>\n\n\n\n

\n\n\n\n

I casi documentati: da Pegasus a X-Agent<\/h2>\n\n\n\n

Iran, giugno 2025: i telefoni delle guardie del corpo come vettore d’attacco<\/h3>\n\n\n\n

Il 16 giugno 2025, cacciabombardieri israeliani colpirono un bunker dove era in corso una riunione d’emergenza alla quale partecipavano figure chiave iraniane, tra cui il presidente Masoud Pezeshkian, i vertici della magistratura, del ministero dell’intelligence e alti comandanti militari. Nessuno dei funzionari portava con s\u00e9 un telefono cellulare, consapevoli che l’intelligence israeliana poteva tracciarli. <\/p>\n\n\n\n

Secondo un’inchiesta del New York Times<\/em>, le forze israeliane furono guidate alla riunione compromettendo i telefoni delle guardie del corpo che avevano accompagnato i leader iraniani sul posto e che attendevano all’esterno. <\/p>\n\n\n\n

Dal punto di vista TSCM, questo caso illustra una vulnerabilit\u00e0 sistematicamente sottovalutata: proteggere il dispositivo del bersaglio principale non \u00e8 sufficiente. L’intera catena di persone nell’orbita del soggetto \u2014 scorte, assistenti, autisti \u2014 rappresenta una superficie d’attacco. Un principio che Polinet S.r.l. applica nelle ispezioni di sicurezza per delegazioni istituzionali e aziendali.<\/p>\n\n\n\n

Gaza: Pegasus per tracciare i movimenti di Hamas<\/h4>\n\n\n\n

Secondo quanto riportato da Axios nel novembre 2023, diverse agenzie israeliane starebbero utilizzando lo spyware Pegasus di NSO Group<\/a>. “Pegasus pu\u00f2 essere usato per accedere ai segnali dei telefoni cellulari e valutare chi si trovava sul terreno durante l’attacco a sorpresa di Hamas e i movimenti di quei segnali prima e dopo l’attacco”, secondo una fonte anonima con diretta conoscenza delle operazioni di NSO. <\/p>\n\n\n\n

NSO avrebbe inoltre costituito una cosiddetta “war room”, riunendo altre aziende simili ed ex dipendenti NSO per tracciare e sbloccare telefoni appartenenti a persone uccise o scomparse, nonch\u00e9 a presunti terroristi. <\/p>\n\n\n\n

Ucraina 2016: X-Agent contro le unit\u00e0 di artiglieria<\/h4>\n\n\n\n

Questo \u00e8 uno dei casi forensicamente pi\u00f9 solidi. Nel 2016, CrowdStrike document\u00f2 il dispiegamento sul campo di battaglia dello spyware X-Agent \u2014 per iOS e Android \u2014 contro le unit\u00e0 di artiglieria ucraine da parte del gruppo di cyber-spionaggio Fancy Bear, probabilmente collegato all’agenzia di intelligence militare russa (GRU). <\/p>\n\n\n\n

Il malware poteva attivare il microfono del dispositivo per registrare audio e raccogliere, tra gli altri dati, messaggi di testo, rubriche, foto e informazioni di geolocalizzazione. <\/p>\n\n\n\n

Tradotto in termini operativi: i comandi di fuoco ucraini erano esposti in tempo reale. Posizione, comunicazioni, ordini. L’impatto tattico di un’infiltrazione di questo tipo \u00e8 paragonabile a quello di una spia fisica all’interno dello stato maggiore.<\/p>\n\n\n\n

Nagorno-Karabakh: Pegasus contro giornalisti e funzionari armeni<\/h3>\n\n\n\n

Nel 2023, un’indagine congiunta della societ\u00e0 civile conferm\u00f2 forensicamente che almeno dodici figure pubbliche e funzionari armeni, tra cui giornalisti e difensori dei diritti umani, erano stati presi di mira con lo spyware Pegasus di NSO Group nel contesto del conflitto nel Nagorno-Karabakh tra il 2020 e il 2022. Si tratta della prima evidenza documentata dell’uso di Pegasus in un contesto di guerra internazionale. <\/p>\n\n\n\n

Siria: SpyMax contro gli ufficiali dell’esercito di Assad<\/h3>\n\n\n\n

In Siria, ufficiali dell’esercito di Assad furono compromessi attraverso un’app che distribuiva SpyMax, uno strumento di sorveglianza Android ampiamente utilizzato, come riport\u00f2 New Lines Magazine nel 2025. Il malware consentiva il keylogging per rubare password e intercettare messaggi, estraeva file riservati, foto e registri delle chiamate, e accedeva alla fotocamera e al microfono per la sorveglianza in tempo reale. <\/p>\n\n\n\n

Il numero di telefoni compromessi \u00e8 difficile da determinare con precisione, ma probabilmente si conta “nelle migliaia”. L’elemento distintivo di questo attacco di phishing, “primitivo ma devastante”, sembra essere stato la compromissione di un’intera istituzione militare. <\/p>\n\n\n\n

\n \n \n \n \n \n \n \n \n \n \n \n \n \n
Caratteristica<\/th>\n Pegasus<\/th>\n X-Agent<\/th>\n SpyMax<\/th>\n <\/tr>\n <\/thead>\n
Sviluppatore<\/td>\n NSO Group (Israele)<\/td>\n Fancy Bear \/ GRU Russia<\/td>\n Tool RAT commerciale<\/td>\n <\/tr>\n
Sistema operativo<\/td>\n iOS + Android<\/td>\n iOS + Android<\/td>\n Android<\/td>\n <\/tr>\n
Vettore d’attacco<\/td>\n Zero-click \/ link malevolo<\/td>\n App trojanizzata<\/td>\n App trojanizzata \/ phishing<\/td>\n <\/tr>\n
Microfono \/ camera<\/td>\n S\u00ec<\/span><\/td>\n S\u00ec<\/span><\/td>\n S\u00ec<\/span><\/td>\n <\/tr>\n
GPS \/ posizione<\/td>\n S\u00ec<\/span><\/td>\n S\u00ec<\/span><\/td>\n S\u00ec<\/span><\/td>\n <\/tr>\n
Keylogging<\/td>\n S\u00ec<\/span><\/td>\n S\u00ec<\/span><\/td>\n S\u00ec<\/span><\/td>\n <\/tr>\n
Sopravvive al reset<\/td>\n S\u00ec (kernel)<\/span><\/td>\n Parziale<\/span><\/td>\n No<\/span><\/td>\n <\/tr>\n
Difficolt\u00e0 di rilevamento<\/td>\n Molto alta<\/span><\/td>\n Alta<\/span><\/td>\n Media<\/span><\/td>\n <\/tr>\n
Conflitti documentati<\/td>\n Gaza, Nagorno-Karabakh, Iran<\/td>\n Ucraina (2016)<\/td>\n Siria (2024\u201325)<\/td>\n <\/tr>\n <\/tbody>\n <\/table>\n<\/div>\n\n\n\n

Iran, aprile 2026: spyware come arma di inganno<\/h3>\n\n\n\n

Secondo quanto riferito da AP a marzo, l’Iran aveva compromesso dispositivi Android di israeliani in fuga da un attacco missilistico iraniano, in un’operazione che richiedeva un coordinamento sofisticato. Le vittime ricevevano un messaggio con un link che pretendeva di fornire informazioni in tempo reale sui rifugi antiaerei. Il link era per\u00f2 malevolo e installava uno spyware, dando agli hacker accesso alla fotocamera, alla posizione e a tutti i dati del dispositivo. <\/p>\n\n\n\n

Pi\u00f9 di recente, secondo un rapporto del Times of London<\/em>, la CIA avrebbe utilizzato lo spyware Pegasus di NSO Group per condurre una campagna di inganno in Iran nell’ambito degli sforzi per recuperare due aviatori americani abbattuti all’inizio di aprile. Il rapporto sosteneva che l’agenzia di intelligence americana aveva usato Pegasus per inviare messaggi alla leadership iraniana e agli operativi dei Pasdaran, affermando falsamente che l’aviatore americano abbattuto era gi\u00e0 stato ritrovato. <\/p>\n\n\n\n

\n \n \n \n \n \n \n \n \n \n \n
Conflitto<\/th>\n Anno<\/th>\n Spyware<\/th>\n Attore<\/th>\n Uso<\/th>\n Fonte<\/th>\n <\/tr>\n <\/thead>\n
Iran<\/td>\n 2025<\/td>\n Non identificato \/ NSO<\/td>\n Israele (attribuito)<\/td>\n Targeting \u2014 compromissione scorte<\/td>\n New York Times<\/td>\n <\/tr>\n
Gaza<\/td>\n 2023\u20132024<\/td>\n Pegasus<\/td>\n Israele (attribuito)<\/td>\n Intelligence sul campo<\/td>\n Axios<\/td>\n <\/tr>\n
Ucraina<\/td>\n 2016<\/td>\n X-Agent<\/td>\n Fancy Bear \/ GRU Russia<\/td>\n Targeting artiglieria<\/td>\n CrowdStrike (confermato)<\/td>\n <\/tr>\n
Nagorno-Karabakh<\/td>\n 2020\u20132022<\/td>\n Pegasus<\/td>\n Azerbaijan (attribuito)<\/td>\n Spionaggio \/ giornalisti<\/td>\n Access Now (confermato)<\/td>\n <\/tr>\n
Siria<\/td>\n 2024\u20132025<\/td>\n SpyMax<\/td>\n Non identificato<\/td>\n Compromissione istituzione militare<\/td>\n New Lines Magazine<\/td>\n <\/tr>\n
Iran<\/td>\n 2026<\/td>\n Pegasus<\/td>\n CIA (attribuito)<\/td>\n Operazione di inganno<\/td>\n Times of London<\/td>\n <\/tr>\n <\/tbody>\n <\/table>\n<\/div>\n\n\n\n
\n\n\n\n

Il problema della controspionage: anche gli alleati spiano<\/h2>\n\n\n\n

Un caso particolarmente significativo riguarda proprio gli Stati Uniti. Un nuovo rapporto della Defense Intelligence Agency americana fu provocato da episodi in cui personale della difesa statunitense in Israele scopr\u00ec spyware installato segretamente sui propri telefoni per intercettare le loro comunicazioni, evidenziando i gravi rischi di controspionaggio associati a questa tecnologia.<\/p>\n\n\n\n

Non si tratta di un caso isolato. Nella mia esperienza di ispezioni TSCM su ambienti diplomatici e aziendali, una delle prime domande che pongo \u00e8: chi ha avuto accesso fisico ai dispositivi nelle ultime 72 ore? La minaccia non viene solo dall’avversario dichiarato.<\/p>\n\n\n\n

\n\n\n\n

Il vuoto legale: cosa si applica durante un conflitto armato?<\/h2>\n\n\n\n

La supervisione legale scompare in gran parte durante i conflitti armati. Il dispiegamento di spyware in contesti bellici avviene spesso su basi giuridiche poco chiare, con garanzie fondamentali \u2014 come la previa autorizzazione giudiziaria e i requisiti di necessit\u00e0, proporzionalit\u00e0 e supervisione post-sorveglianza \u2014 frequentemente del tutto assenti. <\/p>\n\n\n\n

In un conflitto si applica il diritto internazionale umanitario, che vieta il targeting deliberato o indiscriminato di civili, personale umanitario e altre parti protette. “Lo spyware non pu\u00f2 essere usato per molestare, intimidire e divulgare dati di civili, prigionieri di guerra e altri individui protetti”, ha dichiarato Natalia Krapiva<\/a>, Senior Tech-Legal Counsel di Access Now, a Tech Policy Press. <\/p>\n\n\n\n

Ai sensi del diritto penale internazionale, sebbene l’uso di spyware non costituisca di per s\u00e9 un reato, pu\u00f2 rientrare nella condotta che forma la base di crimini di guerra, crimini contro l’umanit\u00e0 o genocidio, se usato per colpire e perseguitare civili e altre popolazioni protette. <\/p>\n\n\n\n

Il problema pratico \u00e8 di natura forense. Anche in tempo di pace, lo spyware \u00e8 spesso difficile da rilevare e documentare; in contesti di conflitto, queste difficolt\u00e0 si amplificano. L’accesso ai dispositivi compromessi pu\u00f2 essere impossibile, le indagini forensi possono essere ritardate o impraticabili, e le prove critiche possono essere distrutte, perse o rese inaccessibili.<\/p>\n\n\n\n

\n
\n <\/span>Confermati forensicamente<\/span>\n <\/span>Attribuiti \/ non confermati<\/span>\n <\/div>\n
\n Casi: 2016 X-Agent Ucraina; 2020-2022 Pegasus Nagorno-Karabakh; 2023 Pegasus Gaza; 2024 SpyMax Siria; 2025 Iran; 2026 CIA Pegasus Iran.<\/canvas>\n <\/div>\n