(in)sicurezza digitale

2026-06-14 06:24:09

Shadow fleet digitale: Russia e Iran usano 36 siti contraffatti per sfuggire alle sanzioni marittime

Un rapporto pubblicato oggi da Recorded Future’s Insikt Group smantella pezzo per pezzo una vasta rete di siti web contraffatti utilizzati dalle flotte ombra iraniane e russe per aggirare le sanzioni internazionali. Oltre 36 siti impersonano registri navali, amministrazioni marittime nazionali e società di classificazione inesistenti, formando un ecosistema digitale al servizio dell’evasione sanzionatoria.

Il contesto: flotte ombra e sanzioni internazionali

Da quando le sanzioni occidentali hanno colpito le esportazioni energetiche di Russia e Iran, entrambi i Paesi hanno sviluppato reti di navi “ombra” — imbarcazioni che operano cambiando frequentemente bandiera, proprietario apparente e documentazione per continuare a trasportare petrolio sul mercato globale. Il problema centrale è la verifica: port state control, compagnie assicurative e broker richiedono documenti ufficiali — certificati di classe, certificati per i marittimi, lettere P&I — e questi documenti ora vengono prodotti digitalmente da entità fittizie che mimano quelle reali.

Tre cluster, un ecosistema interconnesso

Insikt Group ha identificato tre cluster di infrastruttura online, designati Alpha, Bravo e Charlie, accomunati da sovrapposizioni tecniche, pattern di registrazione domini e ricorrenti errori OPSEC. L’analisi mostra connessioni esplicite a 17 navi, la maggioranza delle quali già sanzionate dall’OFAC (Office of Foreign Assets Control) del Dipartimento del Tesoro statunitense.

Cluster Alpha è quello più sofisticato dal punto di vista tecnico: include un generatore automatizzato di PDF che produce certificati fraudolenti per marittimi con QR code funzionali, apparentemente riconducibile all’azienda indiana di sviluppo web Oceaniek Technologies. I certificati vengono emessi “per conto” delle amministrazioni marittime di Benin, Comore e Nicaragua — paesi con scarsa capacità di supervisione e spesso sfruttati come bandiere di comodo.

Cluster Bravo è collegato a due cittadini siriani, uno dei quali ha precedenti di coinvolgimento in attività illecite, e comprende organizzazioni fittizie come la Med Lloyd Classification Society, Hellas Naval Bureau of Shipping e vari siti di formazione per marittimi. Cluster Charlie condivide caratteristiche tecniche e di design con Bravo ma rimane non attribuito, e utilizza uno schema di “validazione a strati” in cui le amministrazioni marittime false avallano altre entità false per costruire credibilità reciproca.

Tecniche di falsificazione: il generatore di certificati

Il meccanismo più significativo identificato nel Cluster Alpha è un’applicazione web che consente la generazione self-service di documenti marittimi fraudolenti. Il sistema accetta i dati del marittimo in input, genera un certificato PDF formalmente identico a quello ufficiale, associa al documento un QR code che punta a una pagina di verifica controllata dagli stessi attori — restituendo risultati “positivi” durante le ispezioni portuali — e mantiene un database queryabile di certificati fittizi per simulare consultazioni da parte delle autorità. Questa capacità trasforma il sistema di verifica documentale in uno strumento di validazione per i documenti fraudolenti stessi.

Pattern tecnici e indicatori di infrastruttura

# Domini identificati nei tre cluster
## Cluster Alpha
beninmaritime[.]org / beninmaritime[.]co / beninmaritime[.]net
epnicaragua[.]org
atlasregister[.]net
## Cluster Bravo
medlloyd[.]online
hellasnaval[.]net
nauticacentro[.]mx
isithin[.]com
## Cluster Charlie
pioneersmaritime[.]com
alliance-scs[.]org
sasmaa[.]club
zambmaritime[.]org
# IP di hosting condivisi
159[.]198[.]36[.]123
217[.]76[.]51[.]133
151[.]80[.]4[.]227

Collegamento a report precedenti e navi sanzionate

Il rapporto integra indagini precedenti: Bellingcat aveva documentato nel febbraio 2026 l’attività di Oceaniek Technologies, e Lloyd’s List aveva scoperto un cluster di registri navali falsi centrati attorno al dominio marinegov[.]net. Le 17 navi per cui Insikt Group ha trovato connessioni esplicite includono petroliere già sanzionate da OFAC, Unione Europea e altri Paesi. Questo elemento rafforza la tesi che le reti di siti fraudolenti non siano operative isolate ma componenti di un’infrastruttura di servizio — un sanctions-evasion-as-a-service — che vende documentazione falsa a più reti operative simultaneamente.

Due righe per compliance e difensori

Per le organizzazioni del settore marittimo, portuale e finanziario coinvolte in operazioni di due diligence, il rapporto segnala un cambio di paradigma: la verifica documentale tradizionale non è più sufficiente. Le raccomandazioni operative includono la verifica indipendente contattando direttamente le autorità nazionali (non tramite link nei documenti), l’integrazione di feed CTI nelle piattaforme di compliance per rilevare domini fraudolenti, l’analisi WHOIS dei domini presenti nei certificati e la segnalazione coordinata alle autorità dei Paesi la cui identità viene impersonata.

Fonte primaria: Insikt Group / Recorded Future, 11 giugno 2026.

Cyber-Enabled Maritime Sanctions Evasion

Discover how Iranian and Russian shadow fleets use a vast network of fake maritime websites and fraudulent documents to evade international sanctions

^{www.recordedfuture.com}