Recentemente, la testata Reuters ha rilanciato la notizia sul tentativo di attacco informatico ad un centro nucleare polacco. Un episodio che rappresenta un punto di partenza utile per analizzare una dinamica più ampia, ossia la crescente proiezione esterna delle capacità iraniane (sia attraverso il cyberspazio, sia tramite reti operative indirette) che negli ultimi anni ha progressivamente interessato l’intero continente europeo. L’Europa, infatti, non è più solo un teatro secondario, ma uno spazio in cui si intersecano operazioni di influenza, cyberwarfare e attività clandestine riconducibili, direttamente o indirettamente, a Teheran.

Nel caso polacco appena citato, le autorità hanno dichiarato, tramite le parole del ministro per gli affari digitali Krzysztof Gawkowski, di aver sventato un attacco contro il Centro nazionale per la ricerca nucleare, sottolineando che “le prime identificazioni” dei vettori d’ingresso rimanderebbero all’Iran, pur con la cautela che tali tracce possano essere parte di una strategia di depistaggio. Ciò rappresenta uno snodo cruciale, in quanto nel dominio cibernetico l’attribuzione è per definizione ambigua, e l’uso di infrastrutture “proxy” o di false flag è una pratica consolidata. Tuttavia, il semplice fatto che un attacco a infrastrutture sensibili europee venga associato (anche preliminarmente) all’Iran segnala quanto questo attore sia ormai inserito nel panorama delle minacce ibride percepite nel vecchio continente. Dalla fine di febbraio 2026, con l’escalation militare tra Iran, Stati Uniti e Israele, il cyberspazio è diventato uno dei principali domini di risposta asimmetrica iraniana. Le operazioni informatiche sono state esplicitamente considerate parte integrante del conflitto, con gruppi legati o vicini a Teheran che hanno rivendicato attacchi contro obiettivi occidentali e aziende globali. È evidente come l’Europa rappresenti una sorta di target “intermedio”: meno rischioso di un attacco diretto agli Stati Uniti, ma comunque rilevante dal punto di vista politico, economico e simbolico.

Le notizie più recenti mostrano come la dimensione cyber sia solo una componente di un approccio più ampio. In Grecia, ad esempio, le autorità hanno emesso allerte ad alta priorità per diversi settori critici, tra cui trasporti, energia e telecomunicazioni, invitando a verificare la presenza di malware e attività sospette riconducibili a infrastrutture iraniane. Il fatto che tali misure siano preventive indica che la minaccia è considerata credibile e sistemica, non episodica. Allo stesso tempo, l’Albania ha già subito in passato attacchi attribuiti a gruppi legati all’Iran, arrivando addirittura a interrompere le relazioni diplomatiche con Teheran, segno di una escalation che trascende il semplice spionaggio digitale. Ancora più significativo è il caso della Svezia, dove i servizi di sicurezza hanno esplicitamente segnalato il rischio che l’Iran possa sfruttare reti criminali locali per condurre operazioni ostili sul territorio europeo. Questo passaggio segna un’evoluzione qualitativa: non si tratta più solo di hacker o gruppi ideologicamente motivati, ma di un possibile utilizzo di intermediari (gang, reti di traffico, soggetti marginali) per realizzare azioni difficilmente attribuibili. È una logica già osservata in altri contesti di guerra ibrida e che riduce drasticamente i costi politici per lo Stato sponsor.

Questa tendenza trova conferma anche in analisi precedenti. Da diversi anni le agenzie europee monitorano attività riconducibili ai servizi iraniani, in particolare al Corpo delle Guardie della Rivoluzione Islamica (IRGC) e al Ministero dell’Intelligence. Un’operazione congiunta tra Francia e Germania, nota come “Marco Polo”, aveva individuato cellule operative coinvolte in pianificazione di attacchi contro obiettivi ebraici e interessi israeliani in Europa. Parallelamente, nel 2025 quattordici governi occidentali hanno firmato una dichiarazione congiunta denunciando una “ondata” di attività iraniane comprendenti sorveglianza, intimidazione, tentativi di rapimento e attacchi contro dissidenti e giornalisti. Questi elementi permettono di delineare una struttura multilivello della presenza iraniana in Europa. Al primo livello si collocano le operazioni cyber, che offrono anonimato, scalabilità e un basso rischio di escalation militare diretta. Al secondo livello vi sono le reti di influenza e sorveglianza, spesso focalizzate sulle diaspore iraniane o su obiettivi sensibili come comunità ebraiche e oppositori politici. Al terzo livello emergono le cosiddette “cellule ibride”, ossia strutture non necessariamente composte da agenti iraniani, ma attivate attraverso intermediari locali o transnazionali. Il collegamento tra questi livelli è ciò che preoccupa maggiormente le agenzie europee. L’uso di gruppi criminali, ad esempio, consente di integrare capacità operative (accesso al territorio, logistica, armi) con obiettivi strategici definiti a distanza. Questo modello, già attribuito in larga parte alla Russia nelle sue operazioni di sabotaggio in Europa, sembra essere progressivamente adottato anche da altri attori statali, tra cui l’Iran.

Tornando al caso polacco, il target (lo ricordiamo, un centro di ricerca nucleare) non è casuale. Le infrastrutture critiche rappresentano un obiettivo privilegiato per operazioni ibride, perché permettono di generare impatto economico e psicologico senza necessariamente causare vittime. Il precedente storico del malware Stuxnet, che colpì il programma nucleare iraniano negli anni 2000, dimostra quanto il dominio cyber possa essere utilizzato per interferire con sistemi industriali complessi. È plausibile che Teheran consideri questo tipo di operazioni come una forma di “ritorsione simmetrica” nel contesto attuale. Per quanto riguarda la dimensione geografica della minaccia, l’Europa orientale, inclusa la Polonia, è particolarmente esposta a operazioni cyber a causa del ruolo strategico nella NATO e del sostegno all’Ucraina. Tuttavia, i segnali provenienti da Grecia, Scandinavia e Balcani indicano che la minaccia è ormai diffusa su scala continentale. Non si tratta quindi di un fenomeno localizzato, ma di una rete di attività che attraversa l’intera Unione Europea, adattandosi alle vulnerabilità specifiche di ciascun Paese.

In questo contesto, il concetto stesso di “cellule iraniane”, rimarcato dal Ministro della Difesa Guido Crosetto, deve essere interpretato in senso ampio. Non si parla necessariamente di strutture clandestine tradizionali, ma di un ecosistema composto da attori statali, gruppi hacker affiliati, reti criminali e individui radicalizzati o cooptati. Questa configurazione rende la minaccia particolarmente difficile da contrastare, perché sfuma i confini tra guerra e criminalità, tra interno ed esterno, tra pace e conflitto. Le implicazioni per la sicurezza europea sono profonde. Da un lato, emerge la necessità di rafforzare le capacità di difesa cyber e di intelligence condivisa tra gli Stati membri. Dall’altro, diventa cruciale monitorare le interconnessioni tra criminalità organizzata e attori statali, un ambito che tradizionalmente è stato trattato separatamente. Infine, vi è una dimensione politica: la gestione delle relazioni con l’Iran deve tenere conto non solo delle questioni nucleari o regionali, ma anche della proiezione di potere che Teheran esercita sul suolo europeo.

Come abbiamo visto, il caso polacco non è un episodio isolato, ma un sintomo di una trasformazione più ampia. L’Iran, sotto pressione internazionale e coinvolto in un conflitto diretto, sembra intensificare l’uso di strumenti asimmetrici anche in Europa. Le “cellule” di cui si parla non sono necessariamente reti clandestine tradizionali, ma nodi di una rete fluida e adattiva che combina cyberwarfare, operazioni indirette e sfruttamento di attori locali. Comprendere questa evoluzione è essenziale per valutare il rischio reale e per sviluppare risposte efficaci a una minaccia che, sempre più, si muove nelle zone grigie della sicurezza contemporanea.

Stefano Lovi – PhD Candidate