L’andamento degli incidenti cyber continua a crescere in maniera significativa, con un incremento del 15% in Italia e del 27% a livello mondiale, in particolare per quanto riguarda gli attacchi con conseguenze gravi. Nel 70% dei casi phishing e ransomware sono le cause principali
Il panorama della sicurezza informatica in Italia è sempre più complesso e instabile. La crescita degli attacchi informatici, favorita dall’uso di tecnologie avanzate come l’intelligenza artificiale e dall’evoluzione del crimine informatico in modalità “as-a-service”, impone un cambio di passo nella difesa aziendale. In questo scenario di “guerra digitale permanente”, il monitoraggio continuo e la condivisione dei dati diventano strumenti fondamentali per affrontare una minaccia che non conosce confini, né tregua. Questa fotografia sullo stato dell’arte della cybersecurity in Italia trova riscontro nella quarta edizione del report Data Gathering 2025 di CybergON, la business unit di Elmec Informatica dedicata alla cybersecurity.
“Siamo entrati in quella che si può definire una nuova forma di normalità, nella quale l’attacco informatico non è più solo un’eventualità, ma è diventato una certezza” – afferma Elisa Ballerio, Security Marketing Director and Communication Coordinator di Elmec Informatica – “Per questo oggi è imprescindibile per le aziende investire in prevenzione, formazione e collaborazione proattiva. Si deve lavorare per creare una cultura della resilienza informatica.”
Il ruolo cruciale dell’Intelligenza Artificiale e del fattore umano
L’indagine di CybergON si basa sull’attività di monitoraggio e risposta su un campione di 173 aziende di diversi settori merceologici. Rispetto all’anno precedente, il dataset preso in esame si è ampliato e prende in considerazione circa 54.000 asset IT suddivisi in hardware, come dispositivi personali, server, router e firewall, e software, ovvero tutte le applicazioni e i programmi utilizzati da un’azienda per lo svolgimento delle proprie attività.
Ciò che salta immediatamente all’occhio dallo studio è che l’andamento degli incidenti cyber nel nostro Paese è in continua crescita a causa di strumenti di attacco evoluti come l’AI generativa e di modelli “as-a-service”, che permettono anche ad attori con competenze tecniche meno avanzate di sfruttare strumenti più evoluti in grado di violare le infrastrutture aziendali. Basti pensare che solo nel 2024 sono stati rilevati 13.000 incidenti informatici e 20.500 anomalie nei sistemi aziendali italiani. Di questi, il 70% degli incidenti con impatto grave è stato causato da campagne di phishing e ransomware, grazie alla disponibilità di malware già pronti all’uso in modalità Ransomware-as-a-Service.
Secondo lo studio condotto da VulnCheck, le vulnerabilità attivamente sfruttate nel corso del 2024 sono aumentate del 20% e tra quelle critiche, il 23% è stato indicizzato come zero day. Quelle sfruttate sono prevalentemente legate ai sistemi aziendali esposti su internet o a disposizione della supply chain. Questo dato rappresenta un chiaro segnale di un cybercrime sempre più efficace e sottolinea come la collaborazione tra enti governativi, vendor e realtà private sia fondamentale per rafforzare i sistemi di difesa dell’intero ecosistema digitale.
Infine, nel Data Gathering 2025 di CybergON si sottolinea come il tempo di fermo in caso di attacco pervasivo può variare tra i 7 e i 14 giorni, mentre il tempo necessario per recuperare almeno l’80% dell’operatività è influenzato da fattori quali l’organizzazione e le attività svolte dall’azienda colpita e le procedure di remediation previste. Per questo, tale tempistica può oscillare tra le 2 settimane e i 2 mesi.
Aumentano le connessioni malevole da Paesi Europei
Analizzando la provenienza delle attività malevole nel 2024, si osservano due principali trend. Il primo è che sono diminuiti i tentativi di attacco con origine nei Paesi emergenti e sono cresciute le connessioni generate dagli Stati occidentali da attribuire al rafforzamento delle difese aziendali, che richiede tecniche di attacco più sofisticate e attori più competenti, ma anche all’uso crescente di grossi cloud provider europei come punto di partenza per gli attacchi, sia alle grandi aziende, che alle PMI. Il secondo riguarda proprio la crescita esponenziale delle attività malevole provenienti dall’Italia, arrivando a rappresentare il 98% degli attacchi totali verso le piccole aziende. Le possibili motivazioni includono il costo inferiore delle competenze tecniche nel mercato del cybercrime italiano e la necessità degli hacker di utilizzare risorse locali per eludere i sistemi di difesa basati sulla sorgente delle connessioni, dato che molte aziende considerano attendibili le connessioni nazionali. Pertanto, attaccando aziende italiane dall’Italia è possibile bypassare facilmente un primo livello di sicurezza.
A questo proposito, dal report è possibile riconoscere l’esistenza di tre differenti top 5 di aree da cui provengono la maggior parte delle minacce informatiche stilate in base alla dimensione delle imprese prese in esame. Per quanto riguarda le grandi aziende, la maggior parte dei tentativi di attacco è stata rilevata in Spagna, Azerbaijan, Bulgaria, Italia e Romania; nella fascia delle medie imprese risultano invece attive principalmente Irlanda – dato che riflette la collocazione dei principali data center AWS in Europa – Azerbaijan, Germania, Italia e Canada; infine, per quanto riguarda il segmento delle piccole imprese, troviamo al primo posto l’Italia, che nell’arco di un anno ha scalato la classifica fino a rappresentare il 98% degli eventi malevoli intercettati, seguita da Germania, Olanda, Russia, Hong Kong. Rimangono attivi in questa fascia anche gruppi provenienti da nazioni in via di sviluppo come Egitto e Panama, i cui attacchi sono spesso facilitati dai livelli di protezione generalmente meno avanzati delle piccole aziende, permettendo l’accesso anche a cyber criminali con competenze meno evolute.
Quali saranno i trend del 2025
Da una prima analisi degli attacchi verificatisi a gennaio e febbraio 2025, è stato rilevato un aumento del 300% delle rivendicazioni di gang criminali sul campione preso in esame dall’indagine di CybergON e questo dato permette di fare delle riflessioni iniziali su cosa ci si deve aspettare nel 2025.
Una prima novità riguarda ancora una volta la geografia degli attacchi. Compaiono infatti nuove nazioni nella top 5 che vede già Irlanda al primo posto e l’Italia al terzo: in particolare, le Filippine occupano il secondo posto della classifica, mentre gli Stati Uniti si posizionano al quarto. Nel primo caso (Filippine), non è certa la causa di questa crescita, ma tra le ipotesi potrebbe esserci l’attivazione di una nuova cellula di cyber criminali in questo Stato, così come l’appoggio a sistemi IT presenti sul territorio come punto di partenza degli attacchi, oppure lo sfruttamento di un’infrastruttura privata con sede nelle Filippine controllata illecitamente da attori malevoli. Nel caso degli Stati Uniti, invece, il motivo dell’aumento si può cercare nella presenza sul territorio di importanti cloud provider, tra cui Google, utilizzati come punto di partenza per i tentativi di attacco. Inoltre, non è da escludere l’influenza legata all’evoluzione della posizione di questo Paese in ambito geopolitico.
In questo quadro è importante sottolineare come l’aumento degli incidenti rilevati sia influenzato anche dalle normative entrate in vigore di recente, come DORA e NIS2, che impongono standard di sicurezza più elevati e una maggiore trasparenza in caso di incidenti. In particolare, la NIS2, con l’obbligo di comunicare gli incidenti all’Agenzia Nazionale per la Cyber Security a partire dal 2026, promuove la condivisione di informazioni per limitare la diffusione degli attacchi e velocizzare le risposte. Si prevede quindi un trend di crescita nelle segnalazioni di incidenti per tutto il 2025 e un’ulteriore impennata nel 2026.
In questo scenario complesso, la collaborazione tra enti pubblici, associazioni e aziende è cruciale per innalzare il livello generale di difesa e contrastare il cyber crime.
