L’arresto di un diciannovenne norvegese nel Regno Unito riporta l’attenzione sul ruolo delle reti criminali europee nelle operazioni attribuite all’Iran. Il caso Foxtrot, conferma la postura operativa di Teheran, che si muove anche attraverso reti criminali, giovani marginali e figure senza appartenenze ideologiche solide, impiegando questi vettori come proxy o come strumenti operativi a basso costo, difficili da intercettare e ancora più difficili da attribuire.

Foxtrot, gruppo criminale svedese finito al centro di nuove attenzioni investigative dopo il processo avviato a Londra contro Johannes Natland, cittadino norvegese di 19 anni accusato di essere arrivato nel Regno Unito per compiere un omicidio su commissione, sembra rientrare all’interno di queste dinamiche.

Secondo la ricostruzione della procura, Natland avrebbe ricevuto indicazioni attraverso canali digitali e sarebbe entrato in contatto con figure operative riconducibili alla rete Foxtrot. Nei messaggi acquisiti dagli investigatori compare un referente, indicato con il nome “Agent 47”, incaricato di coordinare il pagamento e la logistica. La somma promessa sarebbe stata pari a 25mila euro. Ancora, le armi, tra cui una pistola semiautomatica, un revolver e munizioni vere, sarebbero state recuperate in un’area boschiva nei pressi di Manchester.

Il Soufan Center riporta il caso come un nuovo esempio nel processo di esternalizzazione della violenza da parte di reti allineate all’Iran, all’interno di uno schema ricostruibile in questo modo: ogni intermediario aggiunto tra il mandante e l’esecutore materiale riduce l’esposizione politica del primo, allunga la catena probatoria e complica il lavoro di intelligence. A eseguire l’azione, dunque, può essere un giovane contattato sui social, un piccolo criminale, un soggetto vulnerabile attirato da denaro, status o appartenenza digitale e, in misura sempre maggiore, uno o più minorenni.

Foxtrot, se analizzato attraverso questo schema, può rappresentare un esempio calzante. La rete nasce nel contesto della criminalità organizzata svedese, con attività legate al traffico di droga, alle armi e alla violenza tra bande. Il suo leader, Rawa Majid, cittadino svedese di origine curdo-iraniana noto anche come “Kurdish Fox”, è da anni latitante. Secondo il Dipartimento del Tesoro americano, Foxtrot ha condotto attacchi contro israeliani ed ebrei in Europa e nel gennaio 2024 avrebbe orchestrato un’azione contro l’ambasciata israeliana a Stoccolma per conto del governo iraniano. La stessa fonte attribuisce al gruppo un ruolo di primo piano nella violenza criminale in Svezia e una presenza operativa oltre i confini nazionali.

Ancora, nel maggio 2024, il Säpo, il servizio di sicurezza svedese, aveva riportato come l’Iran utilizzasse reti criminali presenti in Svezia per compiere atti violenti contro Stati, gruppi e individui considerati ostili da Teheran. L’agenzia aveva anche indicato in particolare interessi israeliani, ebraici e dissidenti iraniani come possibili obiettivi. Valutazioni che indicano quanto l’utilizzo della criminalità locale sposti l’attenzione dalla capacità delle gang di generare violenza, al loro possibile impiego come proxy.

Dove l’azione diretta espone troppo, si ricorre a livelli intermedi e quando i proxy già conosciuti sono sotto pressione, si cercano risorse, come nel caso di Hayi o come nuove geometrie operative in collaborazione con l’ecosistema criminale europeo. Quando il movente ideologico non basta, si usa il pagamento economico. È una forma di guerra per procura criminale, in cui la distanza tra Stato, milizia, gang e individuo isolato si interseca ulteriormente, aumentando la complessità delle modalità di attribuzione.

Edward Snowden, ex National Security Agency e cittadino russo dal 2022, è comparso in un servizio della televisione di Stato Rossiya-1 dedicato a una presunta operazione dei servizi occidentali contro telefoni e comunicazioni di funzionari russi.

A riportarlo è United24 Media, che ne analizza la narrazione. La tesi sostenuta da Mosca, indica il sito d’inchiesta, sostiene l’idea secondo la quale le grandi società tecnologiche occidentali e i loro servizi cloud o infrastrutture di rete, sarebbero tutti dispositivi dell’intelligence statunitense. Nel servizio russo vengono citate Microsoft, Apple e Google, indicate come partner della Nsa e dell’Fbi, mentre Cloudflare e Fastly sono presentate come nodi tecnici attraverso i quali sarebbe transitata la raccolta informativa.

Qui arriva Snowden, inserito nel racconto come figura di legittimazione. Le sue rivelazioni del 2013 sul programma Prism vengono richiamate per stabilire una continuità tra la sorveglianza statunitense emersa oltre dieci anni fa e l’attuale campagna russa contro l’uso di tecnologie straniere negli apparati dello Stato.

Nel servizio, come riporta United24 Media, Snowden parla delle infrastrutture globali di telecomunicazione e della vulnerabilità dei dati che attraversano reti e dispositivi. Successivamente, le argomentazioni sostenute dall’americano, oggi cittadino russo, collegano la questione alle evoluzioni della sorveglianza digitale, sostenendo che l’intelligenza artificiale consenta di raccogliere prima grandi masse di informazioni e di identificare solo in seguito i bersagli d’interesse, identificando la tecnologia occidentale come un potenziale ambiente ostile, da cui l’amministrazione russa deve progressivamente sganciarsi.

La scelta di utilizzare Snowden, in questo senso, conserva ancora un forte valore simbolico: l’uomo che nel 2013 mise in difficoltà Washington sulle pratiche di sorveglianza viene oggi impiegato dalla comunicazione russa per dare credibilità a un messaggio di segno diverso, funzionale alla chiusura tecnologica e alla diffidenza verso l’ecosistema digitale occidentale. È una torsione politica della sua immagine pubblica, più che una semplice apparizione televisiva.

Mosca presenta la dipendenza da tecnologie occidentali come una minaccia alla sicurezza nazionale e, al tempo stesso, giustifica il rafforzamento dei propri strumenti di controllo digitale. Il tutto con il sostegno di un prestigiosissimo teste, ex sicurezza nazionale americano e oggi russo.

Così, Apple, Google, Microsoft, Cloudflare e Fastly diventano asset di un’infrastruttura globale descritta come penetrabile dall’intelligence americana e dunque incompatibile con la sovranità russa che, una volta fornite le adeguate giustificazioni, procederà a “proteggere gli apparati”, a isolare progressivamente l’ambiente digitale interno e ad alimentare l’idea che la tecnologia occidentale sia, per definizione, un’estensione del potere statunitense.