Il rischio cibernetico raramente avvisa con un comunicato formale. A volte arriva come una notifica push da un'app "innocua", altre come un attacco DDoS, una cancellazione di dati o una fuga di informazioni progettata per umiliare. Dopo i raid aerei coordinati degli Stati Uniti e di Israele contro obiettivi iraniani il sabato 28 febbraio 2026, l'aspettativa di rappresaglia è passata in un terreno dove l'Iran ha un vantaggio asimmetrico: il cyberspazio. E lì, per una PMI, il problema non è geopolitico; è finanziario e operativo.
La segnale più inquietante non è stato un grande ransomware con un riscatto milionario, ma un modello: l'app di calendario e preghiera BadeSaba, con oltre 5 milioni di download, è stata compromessa e ha iniziato a inviare notifiche massicce con messaggi di mobilitazione e poi istruzioni false di resa destinate ai membri della Guardia Revoluzionaria, secondo l'analisi di Flashpoint. Quell'episodio mostra un modello: utilizzare canali di fiducia per manipolare comportamenti su larga scala. La stessa tecnica, invertita, si adatta troppo bene alle aziende occidentali che operano all'interno di Slack, Teams, email aziendali, app di timbratura e portali delle Risorse Umane.
Parallelamente, domenica 1 marzo si è intensificata la campagna "Great Epic" attraverso il canale Telegram "Cyber Islamic Resistance", con operatori “indipendenti” coordinandosi su Telegram e Reddit, condividendo screenshot di attacchi non verificati, anche secondo Flashpoint. Il titolo di Fortune lo sintetizza con una crudezza utile per qualsiasi CEO: la minaccia può essere "nelle mani di un hacker di 19 anni in una stanza di Telegram". Quel dettaglio non è una nota di colore. È struttura di mercato: attacco a basso costo, attribuzione difficile, impatto sproporzionato.
Il nuovo modello non cerca di rubare dati, mira a distruggere fiducia e operatività
Il caso di BadeSaba è prezioso perché non descrive solo un'intrusione, ma un formato di attacco: psicologia + distribuzione massiva. Flashpoint lo interpreta come un esempio di operazioni psicologiche che possono essere replicate contro app e aziende occidentali. Nel linguaggio del business, questo significa che l'obiettivo non è più solo estrarre informazioni, ma degradare la qualità del processo decisionale all'interno di un'organizzazione.Quando un'azienda perde fiducia nei propri canali, aumenta il "costo di coordinamento" interno. I team iniziano a convalidare manualmente i messaggi, a dubitare delle istruzioni legittime, a fermare implementazioni e approvazioni. In una PMI, dove la velocità è un vantaggio competitivo, quella frenata diventa una tassa diretta sul fatturato. E a differenza di un incidente classico di malware, questo tipo di campagna può essere sostenuto con risorse relativamente basse, amplificato dal teatro e dalla viralità.
Esperti citati nella copertura rinforzano quella lettura. Brian Harrell, ex funzionario della CISA, avverte su una combinazione di attacchi dirompenti e operazioni psicologiche per erodere la fiducia. James Winebrenner, CEO di Elisity, si concentra sul rischio di infrastruttura operativa esposta, ricordando le intrusioni e le "defacements" alle attrezzature di trattamento delle acque nel 2023 attribuite a hacker legati all'Iran. La miscela è pericolosa: una parte dell'attacco punta alla reputazione e alla credibilità, l'altra a fermare sistemi che muovono cose reali.
Per le PMI, l'implicazione è durevole: l'"impatto massimo" non richiede più di penetrare il core bancario né una rete nazionale. Basta trovare una periferia trascurata: password predefinite, accessi esposti, fornitori secondari, o un software che nessuno considera critico fino a quando smette di funzionare. La soglia di sofisticazione scende; la soglia di danno aumenta.
La decentralizzazione rende le PMI obiettivi “logici”, non collaterali
Un errore comune nel management è trattare il cyber attacco come un fenomeno riservato a banche, energetiche o governo. La stessa lettura di Flashpoint sul vuoto di comando dopo gli attacchi — con operatori e proxy che agiscono in modo imprevedibile — rompe quella comodità. Se non c'è una catena di comando centrale che filtra obiettivi per "valore strategico", si presentano decisioni opportunistiche e attacchi per accessibilità.Qui le PMI entrano in gioco per pura meccanica: hanno una superficie di attacco comparabile a grandi aziende (SaaS, cloud, endpoints, fornitori), ma con meno controllo, meno monitoraggio e meno capacità di risposta. Anche un'azienda di logistica di media grandezza, menzionata come potenzialmente vulnerabile dalla copertura, può essere un obiettivo ideale: impatta sulla catena di approvvigionamento, genera rumore e costringe terzi a gestire il caos.
Inoltre, c'è un incentivo alla comunicazione. Cynthia Kaiser, ex vicedirettore della cybersecurity dell'FBI e leader del Ransomware Research Center in Halcyon, si concentra sulla teatralità e sull'esagerazione dei successi. Nelle campagne decentralizzate coordinate su Telegram, la reputazione all'interno del gruppo si guadagna tramite "prove" visibili: screenshot, crolli, schermate di sistemi. Questo spinge verso attacchi ad alto impatto percepito, anche se il danno tecnico è limitato.
In termini commerciali, questo cambia il tipo di perdite che una PMI deve modellare. Non è solo il costo del recupero; è il costo dell'interruzione, il costo di gestire clienti spaventati e il costo di operare in condizioni di incertezza. Un'azienda non affonda a causa di un incidente, affonda a causa della durata del disordine.
La cybersecurity non è più un “stack” e diventa una promessa con un prezzo
Ecco dove entro in gioco, con una lente scomoda: la maggior parte delle offerte di cybersecurity per PMI sono progettate per vendere strumenti, non risultati. Competono per il prezzo mensile, per le checklist, per "includere X agenti", e poi si sorprendono quando il cliente cancella o contratta. In un contesto come quello attuale — alta volatilità nelle prossime 48 ore dal 1 al 3 marzo 2026 secondo Kathryn Raines di Flashpoint, e settimane di attività attese secondo Winebrenner — quella strategia è suicida.Se il rischio reale è interruzione e perdita di fiducia, ciò che si acquista non è "EDR + firewall". Ciò che si acquista è certezza operativa.
Perché una PMI paghi bene (e paghi rapidamente), due cose devono aumentare in modo aggressivo: il risultato atteso e la certezza di ottenerlo. E due devono diminuire: il tempo di attesa e la frizione di implementazione. Questo costringe a confezionare la cybersecurity come un prodotto di business, con impegni verificabili e un ambito che non dipenda dall'eroismo di un amministratore di sistema.
Esempi pratici, senza fumo:
- Se l'attacco più probabile include DDoS, defacements, ransomware e hack-and-leak, la proposta di valore deve tradursi in continuità: tempi di recupero, procedure di comunicazione interna, backup verificabile e controllo degli accessi in periferia. Non si vende "protezione totale"; si vende riduzione misurabile del tempo morto.
- Se il vettore include la catena di approvvigionamento, come nota Tom Pace di NetRise, il pacchetto deve includere una minima auditoria dei fornitori critici e controllo delle dipendenze. In una PMI, il fornitore "piccolo" di solito è la porta.
- Se c'è il rischio di OT e ICS esposti, come enfatizzano Harrell e Winebrenner, la priorità è l'inventario e la segmentazione. Non è sofisticazione; è chiudere porte aperte.
Questo approccio sostiene prezzi elevati per una ragione etica e finanziaria: richiede esecuzione reale. Addebitare poco costringe a volume e automatismo, proprio quello che si rompe quando l'attacco combina tecnica con manipolazione. Addebitare bene consente di finanziare risposta, monitoraggio e processi, che è dove si decide il danno.
Un mercato in tensione: agenzie con risorse limitate e aziende con obbligo di operare
La copertura menziona la scarsità di personale nella CISA mentre si preparano. Quella tensione è strutturale: lo Stato non scala al ritmo della superficie digitale del settore privato. Per questo, quando Brian Carbaugh, CEO di Andesite ed ex dirigente delle operazioni speciali della CIA, parla di un conflitto prolungato e della resilienza dell'Iran utilizzando il cyberspazio come strumento a basso costo e difficile attribuizione, ciò che sta dicendo nel linguaggio aziendale è che l'"evento" non termina con una patch.Il modello storico accompagna: Operation Ababil (2012-2014) attaccò istituzioni finanziarie degli USA e anche obiettivi come Saudi Aramco e Las Vegas Sands, secondo il contesto citato dal CSIS nella copertura. La logica non era solo rubare; era interrompere e mandare messaggi. Quel tipo di continuità strategica si armonizza bene con un ambiente di proxy decentralizzati.
Per una PMI, la decisione più costosa non è investire in sicurezza. La decisione più costosa è posticipare fino a quando l'attacco costringe a una fermata. E il secondo errore è pensare che la risposta sia acquistare tecnologia senza progettare l'operazione. Negli incidenti reali, il collo di bottiglia è la coordinazione: chi decide di isolare i sistemi, chi comunica ai clienti, chi convalida i pagamenti, chi definisce cosa sia il "servizio minimo vitale" in caso di emergenza.
Questo è il punto in cui il C-Level deve considerare la cybersecurity come guarda le finanze: una disciplina di continuità. Non tutto si evita; tutto si prevede.
Il vantaggio competitivo sarà operare con frizione bassa sotto pressione reale
Nella realtà descritta da Fortune, con attacchi che possono essere orchestrati da Telegram e amplificati con teatralità, l'azienda che vince non è quella che può vantare una maturità in un audit annuale. È quella che può continuare a consegnare prodotti e incassare fatture mentre gli altri stanno spegnendo incendi.Questo richiede due mosse concrete. In primo luogo, trasformare la difesa in una routine operativa: igiene di base impeccabile, monitoraggio sufficiente e procedure di risposta esercitate. In secondo luogo, rendere l'acquisto della sicurezza una decisione razionale di pricing interno: assegnare budget per ciò che riduce il tempo morto e evita la paralisi della fiducia.
Dalla mia esperienza, le PMI che resistono meglio non sono quelle che acquistano più strumenti, ma quelle che acquistano meno promesse e più esecuzione. Il mercato punirà severamente i fornitori che vendono "tranquillità" senza evidenze e premierà chi ancorerà la propria offerta alla continuità reale.
Il successo commerciale, sia per chi vende cybersecurity che per chi la compra, si decide progettando strategie che riducano la frizione, massimizzino la certezza percepita del risultato e aumentino la disponibilità a pagare, costruendo proposte realmente irresistibili.
