L’11 marzo 2026, poco dopo la mezzanotte sulla costa orientale americana, ottantamila dispositivi di Stryker Corporation — colosso mondiale dei dispositivi medici, fatturato da 20 miliardi di dollari, 51.000 dipendenti — si sono spenti tutti insieme. Non un blackout. Non un guasto tecnico. Un attacco informatico chirurgico condotto da Handala, gruppo di hacker legato al Ministero dell’Intelligence iraniano, che ha sfruttato una funzione integrata di Microsoft Intune per azzerare da remoto laptop, server e telefoni aziendali in 79 uffici sparsi per il pianeta. Il bello — se così si può dire — è che non hanno usato nessun malware sofisticato, nessun exploit da romanzo cyberpunk. Hanno usato lo strumento di gestione che Microsoft vende alle aziende per “proteggere” i loro endpoint. Il coltello era già in cucina, bastava impugnarlo.
La risposta istituzionale non si è fatta attendere: l’FBI ha sequestrato quattro domini di Handala, la CISA ha pubblicato un avviso urgente, Microsoft ha rilasciato linee guida per “rafforzare” Intune. Il copione è sempre lo stesso, e se hai prestato attenzione negli ultimi dieci anni lo riconosci a memoria. Ma facciamo un passo indietro e guardiamo la scena nella sua interezza, perché quello che è successo a Stryker non è un incidente isolato — è il sintomo terminale di un sistema che ha affidato la propria sicurezza informatica a chi vende prodotti strutturalmente insicuri. La cyberguerra tra Iran e occidente è in corso da anni, ma i governi continuano a comprare infrastrutture proprietarie e vulnerabili da aziende che fatturano sulla paura e poi vendono anche il cerotto. E se pensi che il problema sia solo americano, aspetta di vedere cosa sta succedendo in Italia, dove la situazione è — se possibile — ancora più grottesca.
Ottantamila dispositivi cancellati con un clic
Handala non è un gruppo improvvisato di script kiddie che lanciano DDoS dal seminterrato. È una creatura del MOIS, il Ministero dell’Intelligence e della Sicurezza iraniano, come ha documentato Palo Alto Networks nel profilo della threat unit Void Manticore. Emersi sulla scena alla fine del 2023, si sono costruiti una reputazione colpendo istituzioni albanesi, dissidenti iraniani e obiettivi israeliani prima di puntare il mirino sugli Stati Uniti. L’attacco a Stryker — azienda di Portage, Michigan, Fortune 500 — portava un messaggio politico esplicito: rappresaglia per i bombardamenti americano-israeliani sull’Iran, in particolare per l’uccisione di oltre 170 persone nella città di Minab, in gran parte studentesse colpite durante un raid aereo su una scuola. La guerra, quella vera, fatta di bombe e corpi sotto le macerie, genera mostri anche nel cyberspazio. E i mostri, quando nascono, non restano confinati nel paese che li ha generati.
La meccanica dell’attacco rivela quanto sia fragile l’architettura di sicurezza su cui poggiano le grandi corporation occidentali. Gli hacker hanno compromesso un account amministratore di Stryker — molto probabilmente tramite phishing mirato o credential stuffing — e da lì hanno creato un nuovo account con privilegi di Global Administrator all’interno dell’ambiente Microsoft dell’azienda. A quel punto avevano le chiavi del regno, e le hanno usate con precisione chirurgica. Hanno sfruttato la funzione di wipe remoto integrata in Microsoft Intune — lo strumento cloud di endpoint management che Stryker utilizzava per gestire centralmente tutti i dispositivi aziendali — per lanciare un comando di cancellazione di massa nelle ore notturne, quando nessun tecnico stava monitorando i sistemi. Quasi duecentomila tra laptop, server e smartphone resettati alle impostazioni di fabbrica prima che qualcuno potesse accorgersi di cosa stava succedendo. È la tecnica del “living off the land”: non porti le tue armi, usi quelle che trovi sul posto. Handala sostiene di aver esfiltrato 50 terabyte di dati prima di premere il pulsante del reset — un numero non confermato indipendentemente, ma che anche dimezzato la direbbe lunga sull’entità della penetrazione nei sistemi di un’azienda che produce dispositivi medici usati in mezzo mondo.
L’impatto non è stato solo aziendale, e qui la faccenda si fa davvero seria. Il sistema Lifenet EKG di Stryker, utilizzato dai paramedici per trasmettere elettrocardiogrammi agli ospedali durante le emergenze, è andato offline in tutto il Maryland. Tradotto in parole semplici: ambulanze che non potevano inviare dati vitali ai pronto soccorso, persone in crisi cardiaca il cui ECG non arrivava a destinazione, medici costretti a lavorare alla cieca. La cyberguerra — quella che i governi trattano come un problema tecnico da delegare ai contractor — si è presentata alla porta degli ospedali con conseguenze che nessun advisory PDF della CISA sa raccontare. Otto giorni dopo, il 19 marzo, l’FBI ha sequestrato quattro domini accusando Handala di condurre operazioni psicologiche per conto del MOIS: intimidazioni contro dissidenti iraniani, giornalisti, cittadini israeliani, oltre alla rivendicazione di attacchi informatici e alla pubblicazione di dati rubati. La risposta del gruppo? Un comunicato in cui definivano i sequestri “un tentativo disperato di zittirci”, annunciando il ritorno online su nuovi server nel giro di ore. Non è bravata adolescenziale: è la realtà concreta di una guerra asimmetrica in cui sequestrare un dominio è come mettere una pezza su un tubo rotto mentre l’acqua allaga l’intera casa.
Quando lo strumento di difesa diventa l’arma
Il punto che nessuno vuole affrontare è disarmante nella sua semplicità: l’attacco a Stryker non ha sfruttato una vulnerabilità zero-day, non ha richiesto un exploit sofisticato, non ha aggirato firewall con tecniche da film di spionaggio. Ha usato una funzione legittima di Microsoft Intune, quella che permette agli amministratori di cancellare da remoto i dispositivi aziendali — pensata per scenari banali come un laptop rubato o un dipendente che lascia l’azienda. Il problema è che nelle mani sbagliate, con un singolo account compromesso, quella stessa funzione diventa un’arma di distruzione di massa digitale capace di azzerare un’intera multinazionale in poche ore. Microsoft, di armi pronte all’uso nei suoi sistemi, ne tiene parecchie — tutte ben oliate e accessibili a chiunque riesca a mettere le mani sulle credenziali giuste. E la domanda che dovresti farti non è come Handala sia riuscita a entrare, ma perché fosse così facile distruggere tutto una volta dentro.
La CISA ha pubblicato il suo advisory il 18 marzo 2026, e le raccomandazioni fanno venire il mal di testa se le leggi con un minimo di spirito critico. Implementare il Role-Based Access Control per limitare i permessi. Attivare l’autenticazione multifattore resistente al phishing. Configurare il Multi Admin Approval, cioè richiedere che un secondo amministratore approvi le azioni sensibili come il wipe di massa. Tutto giusto, tutto sacrosanto — e tutto quello che avrebbe dovuto essere attivo di default dal primo giorno, non suggerito in un bollettino d’emergenza dopo che il danno è fatto. Perché Microsoft vende un prodotto che permette a un singolo account di cancellare ottantamila dispositivi senza che scatti nemmeno un allarme? La risposta la conosci già se hai mai lavorato nel settore o anche solo se hai letto i termini di servizio di un qualsiasi prodotto enterprise: la sicurezza costa, complica l’esperienza utente e rallenta le vendite. Meglio vendere il coltello senza protezione sulla lama e poi offrire un cerotto a pagamento quando qualcuno si taglia — il modello di business perfetto.
Non è un caso isolato nell’universo Microsoft, e se segui questo blog lo sai bene. Proprio ieri raccontavamo come esperti federali americani definissero il cloud Microsoft “un cumulo di merda” approvandolo comunque per le agenzie governative. Il rapporto di ProPublica documenta che il programma FedRAMP ha certificato l’infrastruttura cloud nonostante i tecnici della CISA avessero sollevato obiezioni gravissime sull’architettura di sicurezza. Nel 2023 il gruppo cinese Storm-0558 aveva già penetrato gli account email di alti funzionari americani sfruttando una chiave crittografica rubata dall’ambiente Azure. Un pattern che si ripete, un disco rotto, ma nessuno cambia la musica perché a nessuno conviene farlo. Microsoft fattura miliardi, i governi spuntano una casella di compliance nei loro audit interni, e il cerino resta in mano a chi quei sistemi li usa davvero — ospedali compresi. Viene da chiedersi: ma se la multinazionale che ti vende la sicurezza è la stessa il cui prodotto viene usato come arma, non c’è qualcosa di profondamente sbagliato nell’equazione?
Ora guarda l’Italia, perché qui la scena è ancora più grottesca. Il consorzio TIM-Leonardo-Cassa Depositi e Prestiti-Sogei ha vinto un appalto da 2,5 miliardi di euro per migrare il 75% della pubblica amministrazione su infrastrutture cloud con tecnologia Microsoft come pilastro portante. L’ACN — l’Agenzia per la Cybersicurezza Nazionale che dovrebbe sorvegliare il processo — nel suo rapporto operativo di febbraio 2026 registra un aumento del 60% degli incidenti informatici rispetto al mese precedente, in un contesto già critico con l’entrata in vigore degli obblighi NIS2 e le Olimpiadi Invernali di Milano-Cortina. Le Olimpiadi, appunto: bersagliate da NoName057(16), il collettivo filorusso che rivendica 487 attacchi DDoS contro l’Italia tra ottobre 2024 e gennaio 2026, rendendoci il terzo paese più colpito al mondo dopo Germania e Francia. Ambasciate, consolati, siti regionali da Emilia-Romagna a Lazio, infrastrutture olimpiche: tutto nel mirino. E noi cosa facciamo? Firmiamo contratti miliardari con gli stessi fornitori che vendono prodotti bucati altrove. Come cercavamo di spiegarti parlando delle minacce cyber del 2026, la sicurezza vera non si compra dagli stessi che creano il problema.
Da Stuxnet a Handala: chi semina cyberguerra raccoglie tempesta
C’è un’ironia storica che merita di essere raccontata, perché aiuta a capire come siamo finiti in questo pantano. Nel 2010, Stuxnet — la prima cyberarma della storia, sviluppata congiuntamente dalla NSA americana e dall’Unità 8200 israeliana — veniva usata per sabotare le centrifughe nucleari iraniane nell’impianto di Natanz. Il worm sfruttava quattro vulnerabilità zero-day di Microsoft Windows per propagarsi e colpire i sistemi SCADA Siemens che controllavano le centrifughe. L’operazione, nome in codice “Olympic Games”, ha ritardato di anni il programma nucleare iraniano e ha stabilito un precedente devastante, dimostrando al mondo intero che il software poteva essere un’arma tanto quanto un missile — ma senza le restrizioni dei trattati internazionali. Sedici anni dopo, gli eredi di quel mondo — hacker legati allo stesso stato iraniano che fu bersaglio di Stuxnet — usano le vulnerabilità strutturali dell’ecosistema Microsoft per colpire aziende americane e infrastrutture critiche occidentali. Il cerchio si è chiuso con una simmetria quasi poetica, se non fosse che nel mezzo ci sono ospedali paralizzati, paramedici che non riescono a trasmettere un ECG e un intero settore medicale messo in ginocchio.
La cyberguerra nel 2026 non è una proiezione futuristica da convegno NATO o da romanzo distopico. È il quotidiano, il rumore di fondo di un mondo che ha deciso di armarsi digitalmente senza darsi regole. Palo Alto Networks ha tracciato oltre 60 gruppi di minaccia attivi nel contesto del conflitto con l’Iran, 53 dei quali operano sul fronte filo-iraniano. Non parliamo solo di Handala: un gruppo che si fa chiamare APT Iran sostiene di aver esfiltrato dati della Lockheed Martin — il più grande contractor militare del pianeta — offrendo sul mercato nero per 598 milioni di dollari presunti blueprints dell’F-35 e contratti del Pentagono. MuddyWater, un altro gruppo legato al MOIS, distribuisce il nuovo backdoor Dindoor contro reti americane secondo The Hacker News. Attori iraniani hanno preso di mira il settore nucleare polacco, campagne DDoS martellano le infrastrutture del Golfo Persico, operazioni di phishing imitano applicazioni di allerta governative in tutto il Medio Oriente. Come abbiamo scritto parlando del legame tra Pentagono e big tech, la corsa agli armamenti digitali procede senza freni e senza regole — e sono proprio i governi che alimentano questa spirale a restarne vittime.
Sul fronte europeo la situazione non è più rassicurante, anzi. NoName057(16) ha dichiarato apertamente l’intenzione di colpire le infrastrutture italiane durante le Olimpiadi di Milano-Cortina, con un comunicato del 4 febbraio che legava gli attacchi alle posizioni del governo italiano sulla guerra in Ucraina e accusava Roma di sostenere il “terrorismo ucraino”. Raid contro siti regionali da Emilia-Romagna a Lazio, l’ambasciata italiana a Washington, consolati a Sydney, Toronto e Parigi — un tiro al bersaglio quotidiano contro la facciata digitale dello stato. Il ministro Tajani ha dichiarato che gli attacchi sono stati “intercettati e neutralizzati” grazie ai sistemi di prevenzione, ma detto senza mezzi termini: respingere un DDoS non è una vittoria, è il livello zero della difesa informatica, l’equivalente di chiudere la porta di casa quando qualcuno bussa forte. Mentre i governi si congratulano per aver fermato l’equivalente digitale di un lancio di uova, attacchi come quello a Stryker dimostrano che le minacce serie passano per porte che i governi stessi hanno aperto — comprando infrastrutture centralizzate, proprietarie e strutturalmente vulnerabili da aziende che hanno tutto l’interesse a vendere, non a proteggere.
La sicurezza che nessun governo vuole: aperta e verificabile
Il nocciolo della questione è politico, non tecnico, e finché non si accetta questo dato di fatto si continuerà a girare in tondo. Le alternative esistono e funzionano — da decenni. Linux gestisce il 96% dei server mondiali e la quasi totalità delle infrastrutture critiche di internet. OpenBSD è stato progettato con la sicurezza come priorità assoluta, con un track record di due sole vulnerabilità remote in oltre venti anni. Strumenti di endpoint management open source come Fleet, Canonical Landscape o Zentyal offrono funzionalità comparabili a Intune con il vantaggio decisivo che il codice è verificabile: puoi vedere esattamente cosa fa, auditarlo, modificarlo, e soprattutto nessuno può nasconderci dentro una funzione di wipe di massa accessibile con un singolo account. La Schleswig-Holstein in Germania sta completando la migrazione della sua intera pubblica amministrazione a LibreOffice e Linux, dimostrando che la sovranità tecnologica non è un’utopia ma una scelta politica concreta che qualcuno ha già il coraggio di fare.
Ma i governi non scelgono il software libero, e il motivo è sempre quello: potere e denaro, le due facce della stessa moneta. Microsoft, Google e Amazon investono milioni in lobbying, i dirigenti pubblici preferiscono comprare un pacchetto “chiavi in mano” piuttosto che costruire competenze interne, il sistema degli appalti favorisce strutturalmente i grandi vendor con le loro armate di commerciali, consulenti e avvocati specializzati in gare pubbliche. L’Italia ha appena firmato quel contratto da 2,5 miliardi per affidarsi al cloud centralizzato delle solite tre aziende, mentre la Germania almeno prova a percorrere una strada diversa. Il paradosso è grottesco nella sua nudità: lo stato che dovrebbe proteggere i cittadini compra la sicurezza da chi vende prodotti insicuri, e quando quei prodotti vengono bucati la risposta è comprare altri servizi dallo stesso fornitore per “rafforzare” l’infrastruttura vulnerabile. È il modello di business perfetto del capitalismo della sorveglianza applicato alla cybersicurezza: crei il problema, vendi la soluzione, e quando la soluzione fallisce vendi l’aggiornamento.
La vera sicurezza è decentralizzata, aperta e verificabile — il contrario esatto di quello che i governi comprano con i soldi delle tue tasse. Quando un’infrastruttura critica dipende da un singolo vendor, un singolo account compromesso può cancellare ottantamila dispositivi in una notte. Quando il codice è proprietario e chiuso, nessun ricercatore indipendente può auditarlo prima che sia troppo tardi — e quando lo è, la risposta è sempre “aggiorneremo le nostre policy”. Quando la gestione è centralizzata nel cloud di un’azienda americana, ogni dato della tua pubblica amministrazione transita su server soggetti al CLOUD Act e al FISA 702, leggi che permettono al governo statunitense di accedere a quei dati senza che tu ne sappia mai nulla. Non è paranoia — è la stessa logica per cui l’FBI compra dati di localizzazione senza mandato e nessuno batte ciglio, la stessa logica che rende ogni contratto cloud con un’azienda soggetta alla giurisdizione americana una potenziale backdoor legalizzata. La risposta non è l’ennesimo hardening di un prodotto rotto. È sostituire il modello — dal basso, con software libero, infrastrutture comunitarie e codice che chiunque può leggere.
Stryker è la cartolina di una cyberguerra già in corso che i governi fingono di poter gestire comprando software da chi la rende possibile. Handala tornerà online — lo ha già fatto, probabilmente mentre scrivo queste righe. NoName057 lancerà il prossimo attacco DDoS contro un sito istituzionale italiano. Un altro account admin verrà compromesso e un altro strumento “legittimo” verrà usato come arma di distruzione. La domanda non è se succederà, ma quando. E la risposta dei governi sarà sempre la stessa: un advisory PDF, una conferenza stampa, e un nuovo contratto milionario con lo stesso fornitore che ha reso possibile il disastro precedente. Se vuoi davvero proteggerti — come individuo, come comunità, come pezzo di società che rifiuta di delegare la propria sicurezza a chi ci lucra — la strada passa per l’infrastruttura che puoi controllare, il codice che puoi leggere, e la rete che puoi gestire senza chiedere permesso a Redmond. Tutto il resto è teatro — costoso, pericoloso, e pagato con i tuoi soldi.