Nel 2025 a livello globale +114,8% di incidenti informatici rispetto all’anno precedente
Una ricerca globale condotta da Check Point Exposure Management Research ha rilevato un aumento senza precedenti di incidenti informatici nel settore finanziario nel corso del 2025, con un numero di attacchi più che raddoppiato, passando da 864 nel 2024 a 1.858 nel 2025. Questa accelerazione riflette un cambiamento radicale nel comportamento degli autori delle minacce, che spazia da azioni di disturbo motivate da ideologie alla criminalità informatica commercializzata come servizio.
L’Europa ha affrontato la più alta concentrazione di attività DDoS a livello globale, che ha travolto portali finanziari, sistemi di pagamento e servizi rivolti al pubblico, mentre gli operatori di ransomware hanno sfruttato pesantemente le supply chain in tutti gli Stati membri dell’UE. Le configurazioni errate di cloud e SaaS sono state le cause principali che hanno determinato il numero di violazioni e fughe di dati. L’impennata è in linea con le campagne politiche legate alle tensioni geopolitiche che interessano il continente.
Le banche europee devono rafforzare la preparazione agli attacchi DDoS e migliorare la condivisione transfrontaliera delle informazioni sulle minacce con una consapevolezza della situazione in tempo reale attraverso l’unificazione delle informazioni sulle minacce, insight del dark web e l’analisi della vulnerabilità, il rafforzamento del cloud e dei controlli di governance dell’identità, poiché gli avversari continuano a sfruttare le vulnerabilità dei sistemi finanziari interconnessi dell’UE.
“Il settore finanziario europeo è sotto pressione a causa delle incessanti campagne DDoS, dell’aumento dei ransomware e della persistente esposizione dei dati, una convergenza che riflette sia le tensioni geopolitiche sia il tessuto finanziario interconnesso del continente”, afferma Shir Atzil, analista di cyber threat intelligence, Check Point Exposure Management Research. “Per mitigare i rischi del 2026 sarà necessario un maggiore coordinamento transfrontaliero, una rapida condivisione delle informazioni e un’interruzione proattiva dell’infrastruttura degli attacchi molto prima che raggiunga le istituzioni europee”.
L’Italia risulta essere settima con 14 attacchi tra i Paesi europei maggiormente colpiti da campagne DDoS dirompenti, dall’escalation delle attività di ransomware e da operazioni di fuga di dati e defacement, dietro alla Gran Bretagna con 61 attacchi, la Francia con 47, la Germania con 42, la Spagna con 30, Polonia e Finlandia entrambe con 20 attacchi. Svizzera e Lituania chiudono questa classifica con 11 attacchi subiti.
Nel vecchio Continente i casi di incidenti da Ransomware al settore finanziario nel corso del 2025 sono stati 74; 47 è il numero di incidenti da defacement, che riflettono le tensioni hacktiviste e geopolitiche e 43 le violazioni e le fughe di notizie.
Panoramica globale delle principali tendenze di attacco
- Gli attacchi DDoS sono aumentati del 105%, spinti da campagne hacktiviste coordinate che hanno preso di mira piattaforme e servizi finanziari di grande visibilità.
- Le violazioni e le fughe di dati sono aumentate del 73%, mettendo in luce le persistenti debolezze nella sicurezza del cloud, nella governance delle identità e negli ecosistemi di terze parti.
- Gli incidenti da ransomware hanno raggiunto i 451 casi, con ecosistemi RaaS maturi e tattiche aggressive di estorsione multipla che hanno portato l’impatto a nuovi livelli estremi.
- Gli attacchi DDoS sono diventati la minaccia dominante e maggiormente dirompente nel 2025, passando da 329 incidenti nel 2024 a 674 nel 2025, con un drastico aumento del 105% su base annua. A differenza degli anni precedenti, questo aumento non è motivato principalmente da ragioni finanziarie. Molti attacchi sono stati, infatti, legati a campagne hacktiviste coordinate, spesso allineate a fattori geopolitici, che hanno preso di mira portali bancari, interfacce di pagamento e fornitori di servizi finanziari con l’obiettivo di negare l’accesso ai cittadini piuttosto che estorcere denaro.
Gli attacchi si sono concentrati principalmente in regioni caratterizzate con tensioni geopolitiche o da un’elevata visibilità mediatica. Israele (112/16,6%), Stati Uniti (40, 5,9%) ed Emirati Arabi Uniti (38, 5,6%) sono in cima alla lista, seguiti da vicino da Ucraina (35, 5,2%) e Germania (34, 5%). Questo modello riflette un’attenzione strategica verso le entità finanziarie che simboleggiano la resilienza nazionale e l’influenza globale. La selezione degli obiettivi spesso aveva più a che fare con messaggi politici che con la posizione tecnica o le difese della vittima.
Molto importante è la centralizzazione dei gruppi di attaccanti. La maggior parte degli eventi DDoS osservati è stata rivendicata da un piccolo gruppo di operatori hacktivisti molto attivi. Keymous+, ad esempio, è stato responsabile di 121 attacchi, mentre NoName057(16) ne ha eseguiti 98, ciascuno dei quali ha condotto campagne ad alto volume e a fuoco rapido in più paesi e settori. Le loro tattiche si basavano su botnet facilmente accessibili e infrastrutture condivise, consentendo anche ad attori con competenze moderate di aumentare il proprio impatto.
Ciò che rende questa tendenza particolarmente preoccupante è il passaggio da interruzioni isolate a una pressione operativa costante. Gli attacchi a breve durata (a volte decine lanciati in un solo giorno) hanno messo a dura prova le capacità di mitigazione DDoS delle istituzioni finanziarie.
Lo scrubbing tradizionale su richiesta si è spesso rivelato insufficiente, sottolineando la necessità di un rilevamento sempre attivo, un routing multi-CDN e strategie di difesa a più livelli in grado di resistere a ondate prolungate di interruzioni ideologicamente motivate.
2. Le violazioni e le fughe di dati sono aumentate notevolmente da 256 incidenti nel 2024 a 443 nel 2025, evidenziando le debolezze sistemiche nella governance delle identità, negli ambienti cloud e nelle integrazioni di terze parti. A differenza degli attacchi DDoS, progettati per causare interruzioni rapide e pubbliche, queste campagne di intrusione erano in gran parte furtive. Spesso comportavano un accesso a lungo termine, l’esfiltrazione silenziosa dei dati e la divulgazione ritardata.
Gli Stati Uniti rimangono l’area geografica più colpita, con 177 casi di violazioni e fughe di dati, che rappresentano il 40% di tutti gli incidenti globali. L’India (31 casi) e l’Indonesia (24) seguono come nuovi punti caldi, in gran parte a causa della rapida espansione degli ecosistemi finanziari e della crescente esposizione alle operazioni basate sul cloud. Gli elevati volumi di transazioni digitali e le estese infrastrutture finanziarie di questi mercati offrono agli attaccanti sia la scala che i dati di valore.
Uno dei risultati più sorprendenti è che il 33% degli incidenti di violazione è stato attribuito ad attori sconosciuti. Ciò riflette una notevole evoluzione, una maggiore sicurezza operativa, infrastrutture di breve durata e un passaggio verso identità decentralizzate e account temporanei. La crescente difficoltà di attribuzione suggerisce che gli attaccanti stanno diventando più sofisticati nel mascherare le loro tracce nel deep web e nel dark web.
Anche gli autori delle minacce specializzati nella compromissione dei dati rimangono attivi. Gruppi come Breach Laboratory (43 incidenti) si sono costruiti una reputazione sfruttando configurazioni errate, acquistando credenziali di accesso iniziali e sfruttando siti di fuga di notizie per campagne di estorsione. Tuttavia, ancora più preoccupante è il fatto che configurazioni errate, come bucket di archiviazione aperti, controlli di accesso permissivi, endpoint API non monitorati, continuino ad apparire nelle reti finanziarie. Questi problemi persistono nonostante i significativi investimenti del settore, sottolineando la necessità di modelli di sicurezza incentrati sull’identità, scansioni automatizzate del cloud e una governance rigorosa degli accessi.
- Il ransomware è rimasto nel 2025 una delle minacce più gravi per gli istituti finanziari, con 451 incidenti registrati nel 2025, in aumento rispetto ai 269 dell’anno precedente. Questo aumento riflette sia la maturità delle operazioni di ransomware as a service (RaaS) sia la crescente sofisticazione delle strategie di estorsione. Gli attaccanti non si accontentano più di crittografare i dati, ma combinano ora crittografia, esfiltrazione, denigrazione pubblica e pressioni dirette su dirigenti e clienti.
Gli istituti finanziari rimangono obiettivi attraenti a causa della loro bassa tolleranza ai tempi di inattività e dell’elevata dipendenza operativa dai sistemi interconnessi. Gli Stati Uniti sono nuovamente in cima alla lista con 196 casi di ransomware (43,5%), seguiti dalla Corea del Sud con 31 (6,9%), dal Regno Unito con 22 (4,9%) e dal Canada con 16 (3,5%). La distribuzione geografica rispecchia fedelmente le economie con una forte presenza nel settore del digital banking, che diventano così i candidati ideali per ottenere il massimo vantaggio dall’estorsione.
Le attività malevole sono fortemente concentrate in un ristretto gruppo di attori, molti dei quali gestiscono sofisticati programmi di affiliazione. Qilin è in testa con 83 incidenti (18,4%), seguito da Akira con 37 (8,2%) e Clop con 19 (4,2%). Questi gruppi si avvalgono di strumenti condivisi, malware altamente modulari e reti di affiliazione ben organizzate che consentono di espandere le operazioni in modo rapido ed efficiente. Le loro tattiche includono lo sfruttamento delle vulnerabilità delle VPN, l’uso improprio delle credenziali rubate e il targeting di fornitori di servizi terzi per ottenere un punto d’appoggio su più vittime contemporaneamente.
L’ascesa del ransomware multi-estorsione ha aumentato significativamente l’impatto. Oltre a crittografare i sistemi critici, gli attaccanti minacciano sempre più spesso l’esposizione normativa, la notifica ai clienti, il danno alla reputazione e persino le molestie mirate ai dirigenti senior. Questa pressione più ampia crea conseguenze finanziarie e reputazionali a cascata che vanno ben oltre l’incidente di sicurezza iniziale. Di conseguenza, le strategie tradizionali di backup e ripristino, pur rimanendo fondamentali, non sono più sufficienti da sole.
“Il settore finanziario sta entrando in una nuova era di rischi informatici, caratterizzata da campagne DDoS, compromissione furtiva dei dati ed ecosistemi ransomware ad alto impatto”, afferma Cristiano Voschion, Country Manager Italia di Check Point. “La forte escalation in tutte le principali categorie di attacchi nel 2025 sottolinea la crescente sofisticazione, automazione e coordinamento globale degli autori delle minacce che operano sia per motivi criminali che ideologici. Le istituzioni finanziarie devono passare rapidamente a modelli di sicurezza basati sull’intelligence, sull’identità e sempre attivi per stare al passo con queste minacce”.
