L’arresto, avvenuto giovedì nel resort costiero di Kotor, in Montenegro, segna un punto di svolta in una delle più imponenti campagne di cyber-spionaggio mai condotte contro il sistema accademico statunitense. Un cittadino iraniano con passaporto turco, 39 anni, è stato fermato dalla polizia montenegrina in collaborazione con l’FBI su mandato della Corte distrettuale meridionale di New York. Le accuse – cospirazione per frode informatica, pirateria e furto d’identità – sono legate a intrusioni che, a partire dal 2013, avrebbero generato perdite stimate in oltre 3,4 miliardi di dollari.

Secondo la ricostruzione delle autorità di Washington, l’indagato avrebbe orchestrato attacchi sistematici contro più di 150 atenei americani, sottraendo dati di ricerca, proprietà intellettuale e credenziali di accesso. Il materiale trafugato, stando alle informative dell’intelligence statunitense, sarebbe stato convogliato verso le Guardie della Rivoluzione e altre entità iraniane, incluse università, configurando un modello di appropriazione sistematica del sapere scientifico. L’operazione conferma la persistenza di una regia statale dietro molte delle offensive cibernetiche attribuite a Teheran, già oggetto, nell’aprile scorso, di un allarme congiunto delle agenzie di cybersecurity, law enforcement e intelligence americane circa un’escalation contro infrastrutture critiche.

La scelta del Montenegro come teatro della cattura aggiunge un tassello alla geografia del cybercrime globale. Il piccolo Stato balcanico, candidato all’adesione all’Unione Europea, si trova sempre più spesso al crocevia di indagini che coinvolgono attori extraeuropei, attratti dalla porosità di un’area in bilico tra flussi turistici e zone grigie della cooperazione giudiziaria. Per l’Europa, e in particolare per l’Italia, l’episodio riaccende i riflettori sulla vulnerabilità del patrimonio accademico e industriale del continente, spesso bersaglio di campagne analoghe. Bruxelles ha più volte sollecitato un rafforzamento della direttiva NIS2 e una maggiore condivisione di intelligence tra Stati membri, proprio per arginare minacce ibride che sfruttano la mobilità dei sospettati e la frammentazione delle giurisdizioni.

L’indagato è ora in attesa di comparire davanti a un giudice della Corte suprema di Podgorica per l’avvio delle procedure di estradizione verso gli Stati Uniti. L’esito di quell’udienza rappresenta il prossimo snodo concreto: da esso dipenderà non solo la sorte giudiziaria dell’uomo, ma anche la possibilità per gli investigatori di accedere a dispositivi e server che potrebbero rivelare l’intera architettura della rete di attacchi. Nel frattempo, l’FBI non ha rilasciato commenti ufficiali, mentre da Teheran non sono giunte reazioni, in linea con la consueta smentita di ogni coinvolgimento statale in operazioni cibernetiche offensive.