Dopo l’8 luglio, con Washington che considera esaurita la tregua con l’Iran e lo stretto di Hormuz tornato al centro di attacchi, minacce e rappresaglie, lo scenario SIGINT nel Golfo entra in una fase diversa. La finestra negoziale dei 60 giorni non funziona più come cornice di de-escalation, ma come spazio operativo instabile, attraversato da crisi sovrapposte: il fronte libanese, la pressione su Hezbollah, il traffico marittimo nello stretto e il dossier nucleare iraniano. Per chi osserva la regione in chiave SIGINT/COMINT, la notizia non è la fine formale dell’intesa, ma il passaggio da un equilibrio intermittente a un ambiente di raccolta saturo, contestato e potenzialmente degradato.
Già dopo otto giorni dalla firma del memorandum d’intesa USA-Iran del 17 giugno a Ginevra era già stata smentita l’ipotesi più benigna che si potesse fare a caldo: quella di una de-escalation lineare, gestibile con un semplice aggiornamento di postura SIGINT su un orizzonte di 60-90 giorni. Quello che si osserva oggi è invece un pattern di rottura-riparazione-rottura, con il fronte libanese che funziona da detonatore ricorrente e Hormuz come barometro in tempo reale della tenuta dell’accordo quadro.
Indice degli argomenti
Iran-Usa, dall’accordo alla nuova crisi
Una sintesi cronologica essenziale. Il 17 giugno viene firmato il MoU a Ginevra (60 giorni di cessate il fuoco rinnovabile, riapertura di Hormuz, fine delle ostilità “su tutti i fronti” incluso il Libano). Il 19 giugno la situazione in Libano si deteriora al punto da far sospendere i colloqui: Israele lancia oltre 150 raid contro il Hezbollah dopo la morte di militari israeliani, con un bilancio libanese di decine di morti in un solo giorno. Iran dichiara la chiusura dello Strait of Hormuz come ritorsione per la violazione del primo punto del memorandum. Il 20 giugno viene negoziato un nuovo cessate il fuoco Israele-Hezbollah, mentre i colloqui tecnici si trasferiscono a Bürgenstock.
Il 21 giugno si registra — secondo fonti CENTCOM/Vance — un transito record di 16 milioni di barili in un solo giorno, mentre l’IRGC torna a dichiarare unilateralmente la chiusura dello stretto per le violazioni israeliane in Libano, generando una situazione di stato contestato dello stretto che, riferiscono i tracker AIS indipendenti, persiste tuttora con tassi di traffico fortemente variabili giorno per giorno. L’8 luglio il presidente Usa Donald Trump ha annunciato la fine del cessate il fuoco e la ripresa degli attacchi.
Lo scenario SIGINT nel Golfo diventa intermittente
Per chi opera in ambito SIGINT/COMINT regionale, questo non è rumore di fondo: è il segnale primario. La “calma delle acque” prevista dallo scenario originario non si è materializzata come stato stazionario, ma come sequenza di impulsi — ogni violazione in Libano genera, nell’arco di 24-48 ore, una chiusura/riapertura dichiarativa di Hormuz, con effetti immediati su traffico AIS, premi assicurativi e, soprattutto, sul volume e la natura del traffico intercettabile. La finestra negoziale di 60 giorni, dunque, non produce una contrazione del collection requirement: lo moltiplica, perché ogni ciclo di crisi va seguito in tempo reale su tre piani simultanei — Ginevra/Bürgenstock (diplomatico), Litani/Beirut (cinetico) e Hormuz/Golfo (marittimo).
Il caso Witkoff-Colby-DiMino
Fonti di stampa precisano alcuni elementi tecnici rilevanti per chi legge in chiave COMSEC:
● Il documento DIA è un brief di sette pagine con chart di classificazione delle minacce, che eleva Israele dal livello “alto” al livello “critico” — la designazione più severa nel sistema interno dell’agenzia, riservata ad attori statali valutati come attivi e aggressivi contro le informazioni classificate USA e i processi decisionali interni.
● Il fattore scatenante specifico, secondo il New York Times, sarebbe stato il ritrovamento di software di intercettazione delle comunicazioni installato sui dispositivi di personale della difesa USA operante in Israele — un dettaglio TECHINT che sposta la vicenda dal piano della pura raccolta HUMINT a quello dell’impianto di capacità SIGINT/spyware contro asset americani in territorio alleato.
● Il precedente del 2019 (dispositivi StingRay rilevati nei dintorni della Casa Bianca, attribuiti con alta confidenza a Israele) viene richiamato nel dossier DIA stesso come parte di un pattern storico, non come episodio isolato.
● Un alto funzionario USA citato da più testate ha definito l’aggressività della raccolta israeliana durante la seconda amministrazione Trump come “unhinged” (fuori controllo) — un lessico che, per chi fa analisi controintelligence, segnala una rottura del tacito understanding che storicamente regolava la sorveglianza reciproca tra alleati.
● Sul piano della genesi politica, la finestra temporale è significativa: secondo Al Jazeera, l’intensificazione della raccolta israeliana risalirebbe già alla fine del 2024, in coincidenza con le pressioni dell’amministrazione Biden su Israele riguardo Gaza, per poi accelerare nel 2025-2026 in concomitanza con la deliberazione interna all’amministrazione Trump sulla strategia verso l’Iran.
Le smentite di rito sono arrivate puntuali: l’ambasciata israeliana a Washington ha definito le accuse “completamente false”, mentre una fonte della Casa Bianca ha bollato il racconto come proveniente da “qualcuno che non ha alcuna conoscenza della situazione”. Per l’analista, queste smentite non sono dirimenti in alcuna direzione: sono la prassi standard in casi di questo tipo, indipendentemente dalla fondatezza del rapporto sottostante.
Il punto analiticamente più importante è un altro: la designazione “critical” non è un atto comunicativo, è un atto procedurale che — se confermato e non silenziosamente accantonato dai vertici politici — innesca processi di revisione a cascata: compartimentazione delle informazioni, perimetro dei briefing classificati condivisi con la controparte israeliana, condizioni di conduzione delle operazioni congiunte. Se questo innesco regge nel tempo, parliamo di un cambio di paradigma nella cultura COMSEC USA-Israele, non di un episodio di tensione diplomatica.
Hormuz: dalla riapertura “controllata” alla governance contesa
Il quadro marittimo richiede un aggiornamento sostanziale rispetto allo scenario di “riapertura parziale e stabile” disegnato a metà giugno. I dati di tracciamento indipendente (Kpler, Lloyd’s List Intelligence, Windward) mostrano un pattern di traffico estremamente erratico:
● Il 18-19 giugno, subito dopo la firma, si è registrato un picco di 18-25 transiti giornalieri, con la prima ondata di navi a maggioranza cinese, seguita da tonnellaggio europeo, giapponese e saudita.
● Il 20 giugno l’IRGC ha tentato una richiusura unilaterale, reintroducendo requisiti di pedaggio e clearance (PGSA) — mossa che il ministero degli Esteri iraniano ha contraddetto nelle ore successive, dichiarando lo shipping “normale”, in un classico segnale di frattura tra fazioni interne al regime (apparato militare vs. diplomatico).
● Nonostante la dichiarazione di richiusura, sono stati registrati 25 transiti AIS-visibili il 22 giugno, segno che il “blocco” iraniano ha più valore dichiarativo/negoziale che operativo reale in questa fase — ma resta un costo enorme in termini di premi di assicurazione (8 volte il livello normale, secondo i tracker indipendenti) e di incertezza per gli operatori.
● Il Joint Maritime Information Center (JMIC) aveva già declassato il livello di minaccia nello stretto da “critico” a “severo” il 7 giugno, prima ancora della firma del MoU, sulla base del numero di transiti sicuri condotti tramite la rotta meridionale presso le acque omanite — un dettaglio che segnala come la maritime domain awareness richieda comunque sovrapposizione continua tra rotta “iraniana” (a nord, lungo le acque territoriali iraniane) e rotta “IMO” (a sud, presso l’Oman), ciascuna con un proprio profilo di rischio e di intercettabilità.
● Resta aperto il nodo della governance post-periodo-toll-free: Teheran sostiene che Iran e Oman amministreranno lo stretto al termine dei 60 giorni; il vicepresidente Vance ha invece dichiarato che l’aspettativa statunitense è che lo stretto resti permanentemente libero da pedaggi. Questa divergenza interpretativa tra le due parti firmatarie dello stesso memorandum è essa stessa un oggetto di collection: chi gestisce la narrativa pubblica della disputa, e con quali canali, è materia di SIGINT diplomatico a tutti gli effetti.
Per la maritime domain awareness, l’implicazione operativa è netta: il lavoro non si sposta semplicemente “dal battlefield ISR al MDA”, come nello scenario di metà giugno — si sovrappone. Bisogna continuare a monitorare i siti missilistici e le comunicazioni IRGC (perché la minaccia cinetica contro il naviglio resta latente e dichiarativamente riattivabile in 24 ore) e, in parallelo, scalare con urgenza le capacità di AIS spoofing detection, dark-fleet tracking e route-attribution (iraniana vs. IMO) per ogni nave in transito.
Il nucleare: non un collection gap, ma un collection void istituzionalizzato
Il rapporto IAEA di giugno 2026, analizzato in dettaglio dall’Institute for Science and International Security (ISIS) e dalla Foundation for Defense of Democracies (FDD), non descrive un “gap” di verifica temporaneo, ma un buco nero ormai cronico:
● L’IAEA ha smesso di condurre attività di verifica in Iran dal 28 febbraio 2026, giorno di inizio della guerra. Il rapporto più recente certifica quindi 97 giorni consecutivi di accesso zero per gli ispettori.
● L’ultimo dato verificato in modo affidabile risale al rapporto GOV/2026/8 del 27 febbraio: 440,9 kg di uranio arricchito al 60% e 8.599,6 kg di materiale a basso arricchimento. Da allora, l’Agenzia non dispone di alcuno strumento di verifica diretta, solo immagini satellitari commerciali e dichiarazioni unilaterali iraniane.
● Il punto più delicato, dal punto di vista TECHINT, riguarda la localizzazione del materiale: il direttore generale Grossi ha dichiarato pubblicamente che una parte significativa dello stock arricchito sarebbe stata trasferita nel complesso sotterraneo di Isfahan prima dei raid di giugno 2025, sulla base di immagini satellitari che mostrano un convoglio di diciotto container blu il 9 giugno 2025 — tre giorni prima dei primi attacchi israeliani su Natanz. Il Bulletin of the Atomic Scientists ha analizzato indipendentemente queste immagini, riscontrando coerenza con l’ipotesi di un trasferimento pianificato.
● Fordow, scavato a 80 metri di profondità nella montagna, risulta “largamente intatto” secondo le valutazioni post-attacco, ma l’Agenzia non ha alcun mezzo per confermarne il contenuto attuale.
● Il rapporto IAEA di giugno non menziona affatto i siti legati alla weaponization (Taleghan 2, SPND, Malek Ashtar, Imam Hussein University) colpiti nei raid del 2025-2026 — un’omissione che ISIS segnala come particolarmente problematica perché priva gli analisti di qualunque elemento per valutare lo stato del probabile programma di armamento, distinto da quello di arricchimento.
Per il SIGINT/TECHINT, questo significa che l’investimento previsto contro le comunicazioni interne all’AEOI (Atomic Energy Organization of Iran) e ai contractor della ricostruzione non è più una previsione a 12-18 mesi: è già, oggi, la principale fonte di intelligence sostitutiva rispetto a una verifica IAEA che resta bloccata per ragioni politiche, non solo tecniche. Il draft di risoluzione sponsorizzato da USA e UE in seno al Board of Governors, che chiede a Teheran “informazioni precise sulla contabilità del materiale nucleare” e accesso “senza indugio”, certifica che la diplomazia multilaterale sulla verifica è essa stessa in stallo — rendendo il collection umano e tecnico non un supplemento alla verifica IAEA, ma il suo unico sostituto operativo per il prossimo futuro.
Il dominio cyber-ibrido: meno “freeze”, più mosaico resiliente
Sul fronte cyber-SIGINT, le fonti aggiornate (Unit 42 di Palo Alto Networks, Soufan Center, Trellix) confermano e raffinano la previsione dello scenario originario, con un dettaglio operativo aggiuntivo importante: nonostante la degradazione severa della leadership e delle infrastrutture centralizzate di IRGC e MOIS nei raid di febbraio-aprile 2026, l’ecosistema dei proxy cyber iraniani ha mostrato resilienza superiore a quella delle strutture di comando centrale. Secondo Unit 42, oltre sessanta gruppi hacktivisti pro-iraniani si sono attivati nelle ore immediatamente successive all’inizio delle operazioni cinetiche di febbraio, in coerenza con quella che gli analisti definiscono una “dottrina mosaico” basata sulla decentralizzazione come garanzia di sopravvivenza operativa anche in caso di decapitazione della leadership.
Per chi pianifica la postura SIGINT-cyber integrata, ciò comporta due correzioni rispetto al modello “guerra calda → reti rigide, fase negoziale → traffico rumoroso” descritto nello scenario originario:
● Anche in fase di guerra aperta, il traffico su piattaforme commerciali di messaggistica resta il canale preferito, non un’eccezione. Il caso Lebanese Cedar (unità cyber di Hezbollah, addestrata e sostenuta da Teheran) conferma che l’infrastruttura proxy ha operato in modo continuativo contro target telecom e infrastrutture energetiche del Golfo indipendentemente dalla fase negoziale in corso.
● Il livello di sofisticazione è in crescita, non in contrazione: gruppi di nuova osservazione come RedKitten hanno incorporato elementi di intelligenza artificiale nel ciclo di attacco, con vettori di comando e controllo che sfruttano steganografia su repository di codice legittimi — un’evoluzione tecnica che richiede aggiornamento costante delle capacità di detection, non solo di collection.
Tre traiettorie aggiornate per i prossimi 12-18 mesi
Il collection void nucleare si istituzionalizza, non si risolve
Anche nello scenario più favorevole di prosecuzione del MoU fino a un accordo strutturato, la verifica IAEA richiederà — nella migliore delle ipotesi — la ricostruzione integrale della continuity of knowledge persa da febbraio 2026, un processo che gli stessi analisti ISIS definiscono di natura pluriennale anche con piena cooperazione iraniana, oggi assente. Il SIGINT/TECHINT contro AEOI e contractor della ricostruzione resta, per tutto l’orizzonte previsionale, l’unica fonte sostitutiva credibile.
La frizione USA-Israele non è più un rischio, è un dato di postura permanente
Il differenziale di obiettivi tra Washington (uscita dal conflitto, gestione del costo politico interno) e Gerusalemme (continuità della pressione militare, opposizione a qualunque accordo che lasci intatta capacità residua iraniana) si è manifestato concretamente nella sequenza di rotture innescate dal fronte libanese — non episodi isolati, ma un pattern che si ripete a ogni ciclo negoziale. La designazione “critical” del DIA, se confermata nei suoi effetti procedurali, richiede l’istituzionalizzazione di contromisure controintelligence verso un alleato di primo livello — un salto culturale che la tradizione COMSEC tra partner Five Eyes-adjacent non ha mai dovuto affrontare in questi termini.
Hormuz resta un barometro ad alta frequenza, non un problema risolto una tantum
La governance dello stretto al termine della finestra dei 60 giorni resta aperta e contesa nell’interpretazione stessa tra le parti firmatarie. Fino a che questo nodo non si chiude — verosimilmente non prima di fine estate 2026, e con margini di incertezza ampi — ogni episodio di escalation in Libano si tradurrà, con una latenza di 24-48 ore, in una nuova chiusura/riapertura dichiarativa dello stretto, richiedendo un ciclo di intelligence continuo e non episodico sul traffico marittimo.
Implicazioni operative aggiornate per gli operatori del settore
● Hardening OPSEC contro alleati, non solo contro avversari. Il caso Witkoff-Colby-DiMino, ora documentato con dettagli TECHINT specifici (spyware rilevato su dispositivi di personale USA in Israele), impone l’aggiornamento dei protocolli COMSEC per le delegazioni operanti in territorio di un alleato strategico con interessi negoziali divergenti — non come eccezione, ma come prassi strutturale per qualunque trattativa sensibile in teatro.
● Maritime SIGINT/MDA come funzione a ciclo continuo. La natura erratica del traffico di Hormuz richiede un investimento in capacità di route-attribution (rotta iraniana vs. rotta IMO) e AIS-spoofing detection che operi su base quotidiana, non come capability di backup da attivare in caso di crisi.
● Collection umano e tecnico come sostituto strutturale della verifica multilaterale. Con la verifica IAEA bloccata da 97 giorni e nessuna prospettiva di sblocco a breve, le agenzie occidentali devono pianificare investimenti pluriennali — non transitori — su HUMINT/SIGINT contro la filiera di ricostruzione nucleare iraniana.
● Difesa contro il mosaico cyber-proxy, non solo contro l’IRGC centrale. La resilienza dimostrata dall’ecosistema di proxy cyber iraniani (Hezbollah/Lebanese Cedar, gruppi hacktivisti, attori emergenti come RedKitten) richiede capacità di detection distribuite e aggiornate, indipendenti dallo stato di salute della leadership centrale IRGC/MOIS.












Partecipa alla community