Gli Stati Uniti alzano simultaneamente il livello di difesa sulle infrastrutture fisiche e sui canali finanziari digitali usati dagli attori ostili. Il 2 giugno 2026 CISA, insieme a FBI, NSA, DOE, EPA, TSA, DOT e USDA, pubblica un avviso congiunto sui cyberattacchi contro i sistemi ATG, dispositivi usati per monitorare serbatoi di carburante, liquidi industriali, livelli di riempimento, temperatura, perdite e pompe in settori come energia, chimica, agricoltura e trasporti. Nello stesso giorno il Dipartimento del Tesoro USA sanziona Nobitex, il maggiore exchange crypto iraniano, insieme a Wallex, Bitpin e Ramzinex, accusati di aver facilitato evasione di sanzioni, pagamenti terroristici, transazioni del Corpo delle Guardie Rivoluzionarie Islamiche e flussi collegati a gruppi ransomware. Le due misure non sono episodi separati, ma parti dello stesso quadro strategico: da un lato gli attaccanti cercano di interferire con sistemi operativi esposti su internet e capaci di produrre effetti fisici; dall’altro utilizzano exchange e asset digitali per finanziare operazioni malevole, muovere fondi e aggirare il controllo internazionale.
Cosa leggere
CISA avverte sui sistemi ATG esposti su internet
L’avviso congiunto firmato da CISA, FBI, NSA, Dipartimento dell’Energia, EPA, TSA, DOT e USDA mette al centro i sistemi Automatic Tank Gauge, dispositivi fondamentali per il monitoraggio remoto di serbatoi di carburante e liquidi in ambienti industriali e logistici. Gli ATG non sono semplici strumenti di misurazione, perché controllano livelli, allarmi, identificatori di prodotto, volumi, temperatura, perdite e in alcuni casi funzioni collegate alle pompe. Quando questi dispositivi restano accessibili direttamente da internet, spesso con credenziali deboli o configurazioni non aggiornate, diventano bersagli particolarmente interessanti per attori malevoli. Il rischio non riguarda soltanto la sottrazione di dati tecnici, ma la manipolazione della visibilità operativa degli impianti. Gli attaccanti possono alterare parametri, disabilitare allarmi, modificare valori di riempimento e creare condizioni di denial-of-view, nelle quali gli operatori non vedono più lo stato reale dei serbatoi. In settori come energia, trasporti, chimica e agricoltura, questa perdita di controllo può tradursi in guasti, fuoriuscite, errori di distribuzione, danni ambientali e rischi fisici per impianti e personale.
Le vulnerabilità ATG trasformano il monitoraggio in superficie d’attacco
Secondo l’allarme federale, gli attaccanti sfruttano debolezze note come bypass di autenticazione, credenziali hardcoded, SQL injection, escalation di privilegi ed esecuzione di comandi OS. Molti sistemi ATG espongono porte seriali convertite su rete, spesso raggiungibili attraverso porte TCP 8001, 9001 o 10001, trasformando dispositivi industriali pensati per contesti controllati in nodi vulnerabili della rete pubblica. Una volta ottenuto l’accesso, gli aggressori possono intervenire su database interni, configurazioni di rete, identificatori del prodotto stoccato, soglie di allarme e controlli delle pompe. Il problema è particolarmente grave perché i sistemi ATG gestiscono materiali potenzialmente infiammabili o pericolosi, e ogni alterazione dei dati può produrre decisioni operative sbagliate. Un falso livello di riempimento può spingere un operatore a sovraccaricare un serbatoio; un allarme disabilitato può impedire la rilevazione tempestiva di una perdita; una modifica agli identificatori può creare confusione sulla sostanza realmente presente. Anche senza un’esplosione o un danno immediato, la compromissione di questi dispositivi erode la sicurezza industriale e può generare conseguenze cumulative difficili da rilevare.
Le agenzie federali chiedono rimozione immediata dell’esposizione pubblica
La raccomandazione centrale dell’avviso è netta: i proprietari e gli operatori di sistemi ATG devono eliminare ogni esposizione diretta su internet. Le interfacce web, le porte seriali esposte e gli accessi remoti non protetti devono essere chiusi o protetti attraverso firewall, ACL, VPN e segmentazione di rete. Le agenzie raccomandano inoltre la sostituzione immediata delle password predefinite, l’adozione di credenziali forti e uniche, l’implementazione di autenticazione multifattore resistente al phishing dove disponibile e la verifica degli aggiornamenti software direttamente con fornitori certificati. Il monitoraggio diventa una componente obbligata della risposta: attivare logging, controllare accessi anomali, verificare modifiche non autorizzate ai parametri dei serbatoi, analizzare allarmi sospetti e segnalare gli incidenti a CISA. Il documento richiama anche le Primary Mitigations to Reduce Cyber Threats to Operational Technology, perché la protezione degli ATG non può basarsi su interventi isolati ma su una revisione più ampia della sicurezza OT. La priorità non è soltanto correggere una vulnerabilità, ma ridurre la distanza tra infrastrutture operative e internet pubblico.
Il Tesoro USA colpisce Nobitex e gli exchange crypto iraniani
Nello stesso giorno dell’avviso sugli ATG, il Dipartimento del Tesoro USA interviene sul fronte finanziario sanzionando Nobitex, il più grande exchange crypto iraniano, insieme a Wallex, Bitpin e Ramzinex. L’azione dell’OFAC si inserisce nel quadro delle misure contro il settore finanziario iraniano e usa l’autorità antiterrorismo dell’Executive Order 13224. Nobitex viene indicato come infrastruttura centrale per il movimento di asset digitali in Iran, con oltre il 50 per cento degli inflow crypto iraniani nel 2025. Secondo il Tesoro, l’exchange avrebbe facilitato pagamenti legati ad attività terroristiche, evasione di sanzioni, transazioni del IRGC e flussi connessi a gruppi ransomware. La misura congela gli asset sotto giurisdizione statunitense e vieta ai cittadini USA di effettuare transazioni con le entità designate. Le sanzioni colpiscono anche figure apicali di Nobitex, tra cui il presidente e cofondatore Amir Hossein Rad, il CEO Seyed Ali Khoee e altri cofondatori legati al settore finanziario iraniano. L’obiettivo è interrompere i canali che consentono al regime di spostare denaro, proteggere asset e finanziare operazioni ostili attraverso criptovalute e stablecoin.
Nobitex diventa il nodo crypto tra IRGC, sanzioni e ransomware
Il caso Nobitex mostra come gli exchange crypto possano diventare strumenti di resilienza finanziaria per regimi sottoposti a sanzioni. Secondo la ricostruzione statunitense, la piattaforma avrebbe supportato operazioni riconducibili al Corpo delle Guardie Rivoluzionarie Islamiche, facilitato flussi per attori già designati dall’OFAC e processato transazioni associate a gruppi ransomware affiliati o collegati all’ecosistema iraniano. Il ruolo degli altri exchange rafforza il quadro: Wallex avrebbe ricevuto il 12 per cento degli inflow iraniani nel 2025, Bitpin circa il 10 per cento, mentre Ramzinex avrebbe gestito oltre 2,45 miliardi di dollari in transazioni, incluse operazioni legate a istituzioni govern
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
