Non serve entrare davvero in un telefono per distruggerlo. A volte basta dire che ci sei entrato. È questo il cuore della storia che nessun media mainstream racconta quando riporta la notizia della presunta violazione del dispositivo di Yoav Gallant, ex ministro della Difesa israeliano, da parte di un gruppo cyber legato all'Iran. La notizia è lì, sul tavolo. Ma la vera notizia è un'altra: stiamo assistendo a una nuova forma di guerra in cui la rivendicazione falsa è un'arma precisa quanto quella vera.
Chi è Handala, e perché non è quello che dice di essere
Il gruppo che ha rivendicato l'operazione si chiama Handala. Si presenta come un collettivo hacktivista pro-palestinese che orchestra cyberattacchi contro obiettivi israeliani e americani, ma è ampiamente considerato una copertura per le tattiche di cyberwarfare dell'Iran — più precisamente, una delle personas usate dal Ministero dell'Intelligence iraniano (MOIS) per rivendicare i propri attacchi informatici. All'inizio il gruppo si presentava come un collettivo hacktivista pro-palestinese, una copertura che non nascondeva l'allineamento con gli interessi del regime iraniano. Ma dietro la maschera del "resistente digitale" si muove una macchina ben oliata. Il gruppo appare gestito dal Ministero dell'Intelligence dell'Iran ed è tracciato dagli esperti di sicurezza informatica sotto vari nomi, tra cui Banished Kitten, Storm-0842 e Void Manticore. Handala ha già in passato avvertito di tentativi di hacking contro figure politiche israeliane di alto profilo, tra cui l'ex ministro della Difesa Yoav Gallant. E non si è fermato lì: in uno dei colpi più celebri, ha dichiarato di aver violato gli iPhone del capo dello staff di Netanyahu, Tzachi Braverman, e dell'ex primo ministro Naftali Bennett. Ma c'è un dettaglio che i media tendono a non sottolineare abbastanza: tra dicembre 2025 e gennaio 2026 Handala ha rivendicato la compromissione degli account Telegram di Naftali Bennett e di Tzachi Braverman, capo di gabinetto di Benjamin Netanyahu. Tuttavia, l'azienda di analisi KELA ha esaminato il materiale diffuso e ha concluso che l'accesso riguardava gli account Telegram, non i dispositivi completi: si trattava quindi più di session hijacking e social engineering che di una compromissione totale dello smartphone. Tradotto: Handala spesso annuncia di aver "bucato il telefono" di qualcuno, quando in realtà ha ottenuto l'accesso a un singolo account. La differenza è enorme sul piano tecnico. Sul piano narrativo, invece, è irrilevante — e questo è esattamente il punto.
La dottrina della rivendicazione: quando il bluff è un'arma
Esiste una domanda che quasi nessuno pone quando legge di un presunto attacco informatico di questo tipo: perché un gruppo di intelligence dovrebbe annunciare pubblicamente di aver violato il telefono di un ministro della difesa? Un vero servizio segreto che riesce a entrare nel dispositivo di un alto funzionario militare non lo grida ai quattro venti. Lo sfrutta in silenzio, raccoglie informazioni per mesi, costruisce una rete di intelligence. Annunciarlo pubblicamente significa bruciare l'operazione, avvertire il bersaglio, perdere ogni vantaggio strategico. Eppure Handala lo fa sistematicamente. E la risposta sta in quello che gli analisti chiamano "effetto psicologico di secondo livello". Il termine Jang-e-Ashub, traducibile come "guerra e caos", descrive l'approccio adottato da gruppi legati all'Iran: una sequenza di azioni pensata per creare turbamento, mostrarsi reattiva e ottenere peso negoziale senza necessariamente scatenare un confronto militare diretto. Le prime mosse includono attacchi distruttivi selettivi che servono più a dimostrare capacità che a esaurire una capacità offensiva. A queste si affiancano campagne di rumorosa rivendicazione per amplificare l'effetto psicologico e far percepire una minaccia imminente. In molti casi il danno tecnico rappresenta solo una parte dell'effetto ricercato. L'obiettivo vero consiste nel costringere il bersaglio a reagire, a verificare, a rassicurare, a riallocare attenzione e risorse. Detto in modo ancora più diretto: le affermazioni di responsabilità dei gruppi hacktivisti, anche quando non completamente verificabili, generano comunque paura e richiedono risposte operative da parte dei team di sicurezza. È la logica del bluff al poker portata alla geopolitica digitale. Non importa se hai le carte vincenti. Importa che l'avversario pensi che tu le abbia.
I media occidentali come amplificatori involontari
C'è una complicità silenziosa in questa storia, e riguarda il modo in cui i media occidentali trattano queste rivendicazioni. Ogni volta che un gruppo come Handala pubblica uno screenshot, una lista di email o una foto rubata, le redazioni di tutto il mondo riportano la notizia come un fatto compiuto, senza aspettare verifiche tecniche indipendenti. Gli attori coinvolti coordinano le loro attività tramite Telegram e Reddit, pubblicando schermate degli attacchi come prova, anche se la verifica richiede settimane o mesi, come ha spiegato Kathryn Raines, ex esperta NSA e oggi responsabile threat intelligence in Flashpoint. Il risultato è che la macchina della disinformazione si alimenta da sola. Il bollettino canadese sulla minaccia cyber osserva che gli hacktivisti filo-iraniani tendono spesso a sopravvalutare i risultati delle proprie azioni. Questo passaggio conta molto, perché nel ciclo attuale una parte della battaglia si gioca sulla percezione: moltiplicare i claim, gonfiare i numeri, costringere i bersagli a reagire in fretta, indurre i media a trattare ogni rivendicazione come compromissione confermata. John Hultquist, capo analista del Google Threat Intelligence Group, ha messo in guardia esplicitamente: "Sebbene l'Iran abbia compiuto alcuni gravi attacchi informatici dirompenti, molti di essi sono falliti e gli autori hanno ripetutamente fatto affermazioni false ed esagerate per rafforzare il loro impatto. L'obiettivo di molte di queste operazioni è psicologico piuttosto che pratico, ed è importante non sopravvalutarne l'impatto."
Quando il bluff diventa realtà: il caso Stryker
Sarebbe però sbagliato liquidare Handala come un gruppo di millantatori. Alcune delle loro operazioni sono state devastantemente reali. Durante la guerra Iran del 2026, il gruppo è stato responsabile di un cyberattacco sull'azienda americana di tecnologia medica Stryker Corporation, in quello che è stato riportato come il più significativo cyberattacco in tempo di guerra contro gli Stati Uniti. Gil Messing, chief of staff dell'israeliana Check Point, ha detto che l'operazione hack-and-leak contro Patel faceva parte della strategia dell'Iran per mettere in imbarazzo i funzionari statunitensi e "farli sentire vulnerabili". Gli iraniani, ha detto, "stanno sparando tutto quello che hanno." Ed è qui che si annida la vera astuzia della strategia iraniana: questi gruppi probabilmente mancano di capacità strategiche pre-posizionate per causare interruzioni significative, ma le loro minacce e i loro vanti di successo sono un tentativo di seminare paura indipendentemente dalla loro competenza tecnica. Ma mescolando attacchi reali e rivendicazioni false, rendono impossibile per il pubblico — e spesso anche per gli esperti — distinguere i due piani.
Chi ci guadagna dall'ambiguità?
C'è una domanda scomoda che questo articolo non può evitare: chi beneficia di questo clima di paura permanente? La risposta ovvia è Teheran. Ma c'è un secondo beneficiario, raramente nominato: l'industria della cybersicurezza occidentale. Con l'indebolimento delle capacità militari convenzionali iraniane, gli attacchi informatici diventano un'opzione sempre più efficace. Richiedono costi ridotti, risultano difficili da attribuire e possono generare forti effetti psicologici e operativi. E ogni volta che un gruppo come Handala rivendica un'operazione — vera o falsa — i budget della difesa informatica crescono, i contratti si moltiplicano, le aziende di threat intelligence vendono più abbonamenti. L'ambiguità, insomma, ha un prezzo di mercato. E qualcuno lo incassa ogni volta che un titolo di giornale recita "Hacker iraniani violano il telefono del ministro" senza aggiungere "ma nessuno lo ha verificato".
Imparare a leggere la nebbia
La nebbia della guerra nel cyberspazio è particolarmente densa. E in questa nebbia, la rivendicazione falsa funziona esattamente come quella vera: genera titoli, costringe risposte, semina insicurezza. La prossima volta che leggerete di un gruppo di hacker che "ha violato il telefono" di un politico, prima di condividere la notizia, fatevi una domanda semplice: se davvero avessero accesso a quel dispositivo, perché lo starebbero annunciando su Telegram? La risposta a quella domanda vale più di qualsiasi analisi tecnica. Perché svela la vera natura di questa guerra: non è una guerra di dati. È una guerra di percezioni. E noi, ogni volta che condividiamo una rivendicazione non verificata, siamo i suoi soldati inconsapevoli.
Fonti utilizzate - Palo Alto Networks – Unit 42, *Threat Brief: March 2026 Escalation of Cyber Risk Related to Iran* (aggiornato al 26 marzo 2026) - Foundation for Defense of Democracies (FDD), *Iran's Pro-Regime Hackers Cannot Back Up Their Claims of Successful Cyber Attacks* (marzo 2026) - CNBC / Reuters, *Iran-linked hackers breach FBI Director Kash Patel's personal email* (27 marzo 2026) - Cybersecurity 360, *Handala, cosa sapere del cyber gruppo iraniano che attacca l'Occidente* (marzo 2026) - Agenda Digitale, *Hacktivismo filo-iraniano, la nuova pressione cyber contro Israele* (marzo 2026) - Iran International, *Iran-linked hacking group claims access to phone of senior Israeli officials* (dicembre 2025) - GovInfoSecurity, *Inside the Tehran-Linked 'Faketivist' Hacking Group Handala* - FBI / Hackread, *FBI Warns of Iran's Handala Hack Group Using Fake Apps to Spy on Windows Users* - Think.it, *Attacchi informatici iraniani: come il cyber viene usato come leva strategica* - Fortune Italia, *Iran, cresce il rischio cyber: aziende Usa nel mirino degli hacker* (marzo 2026) - Wikipedia, *Handala (hacker group)*