La pubblicazione della recente Relazione annuale al Parlamento dell’Agenzia per la Cybersicurezza Nazionale (ACN) offre una fotografia cruciale dello stato della sicurezza informatica in Italia. L’ACN, l’organismo istituzionale preposto a tutelare gli interessi nazionali nel campo della cybersicurezza e ad accrescere la resilienza digitale del Paese e delle sue infrastrutture critiche, ha delineato uno scenario apparentemente contraddittorio per l’anno 2025. I dati ufficiali evidenziano un sensibile aumento degli eventi cyber gestiti dal CSIRT Italia, cresciuti del 38% rispetto all’anno precedente fino a raggiungere la quota di 2.729 attacchi tentati. Eppure, a fronte di questa massiccia ondata di ostilità informatiche, gli incidenti con impatto confermato – ovvero quelli che hanno effettivamente superato le difese provocando danni reali a sistemi o dati – sono aumentati soltanto del 7%, assestandosi a 615 casi. Questo divario statistico introduce un vero e proprio paradosso della sicurezza che merita un’analisi tecnica approfondita per comprendere come stia cambiando la postura difensiva del tessuto produttivo e istituzionale italiano.
Questo fenomeno di disallineamento, secondo i relatori, non deve essere interpretato come un colpo di fortuna, bensì come il chiaro segnale di una crescente capacità di rilevamento e mitigazione precoce da parte delle organizzazioni. L’espansione della base di utenti monitorata e il potenziamento delle infrastrutture tecnologiche di controllo, agevolati anche dalle recenti evoluzioni normative in materia di conformità, permettono oggi di intercettare e neutralizzare le minacce prima che si trasformino in crisi aziendali conclamate. In altre parole, il Paese si scopre digitalmente più esposto ma, al tempo stesso, molto più resiliente. Tuttavia, la pressione costante degli attori malevoli obbliga a mantenere altissima la guardia, poiché la diversificazione delle strategie offensive e il continuo perfezionamento delle tecniche informatiche continuano a mettere a dura prova i sistemi difensivi di imprese e amministrazioni, evidenziando vulnerabilità strutturali ancora irrisolte.
Parlando di qualche altro numero contenuto sulla relazione annuale, veniamo a sapere che sono aumentate di molto le vittime cosiddette univoche, ovvero quelle che hanno subito almeno un attacco cyber o un evento, salite del 50% ed arrivate a superare la quota dei 1.900. C’è poi il dato sul numero totale di vittime di attacchi, arrivato ad oltre 3.900, oltre ai vari numeri provenienti dai tanti monitoraggi. In questo caso, per citare quelli più eclatanti, si notano in particolar modo gli oltre trentamila dispositivi a rischio segnalati, gli oltre diecimila dispositivi che potevano già essere stati compromessi ed i quasi 2.500 siti per phishing segnalati e comunicati. Salgono poi gli IoC, vale a dire gli indicatori di compromissione, schizzati oltre gli 800.000, segnale assolutamente importante per molti aspetti, visto che il valore è sestuplicato da un anno all’altro, che in primis significa un aumento dell’efficienza di CSIRT e del suo interfacciamento con le autorità equipollenti in giro per l’Europa.
L’analisi dettagliata dei vettori di attacco conferma che la dimensione umana rimane l’anello più debole e sfruttato della catena difensiva, con il phishing e lo spearphishing che dominano le fasi di accesso iniziale ai sistemi aziendali. Nel corso del 2025, la qualità e la capillarità di queste campagne ingannevoli hanno registrato un salto di qualità impressionante, trainate dall’utilizzo pervasivo di strumenti basati sull’intelligenza artificiale, che consentono ai criminali informatici di generare esche testuali personalizzate, prive di errori e altamente credibili. Questa modalità di intrusione si sposa frequentemente con l’esposizione non protetta di dati e credenziali, creando un binomio pericolosissimo che facilita il furto di identità digitali per l’accesso a servizi cloud e reti aziendali. In parallelo, gli attacchi di tipo Distributed Denial of Service (DDoS) si sono confermati quantitativamente preponderanti, caratterizzati da un’elevata frequenza e da una forte visibilità mediatica, ma fortunatamente associati a un basso impatto sulle infrastrutture colpite.
Uno scenario diametralmente opposto riguarda invece la minaccia del ransomware, che nel corso del 2025 ha mostrato una tendenza alla riduzione in termini di pura frequenza numerica, ma un drammatico incremento per quanto concerne la gravità degli effetti. Le organizzazioni criminali hanno infatti abbandonato i tentativi massivi e indiscriminati per concentrarsi su operazioni estremamente mirate e selettive, colpendo soggetti strategici come le piccole e medie imprese meno preparate, le strutture sanitarie e la Pubblica Amministrazione, la quale ha registrato oltre mille eventi cibernetici nel corso dell’anno e 192 incidenti verificati, un dato in forte aumento. Le più colpite da questo punto di vista sono le amministrazioni statali, seguite da comuni ed enti regionali, i secondi in classifica a maggiore rischio a causa di una grande superficie esposta in rete. La strategia del ransomware si è ormai consolidata nella duplice estorsione, che unisce al blocco dei sistemi operativi la minaccia di esporre pubblicamente i dati sensibili sottratti, massimizzando il danno reputazionale ed economico. Su questo aspetto si segnalano 442 casi di “data exposure” e ben 363 di phishing, cosa che deve fare riflettere innanzitutto per l’alto numero di attacchi che vanno a segno ma anche per il fatto che solitamente preparano il campo per offensive successive. Altro grossissimo problema proviene invece dal fatto che tantissime esposizioni di dati vengono scoperte dal CSIRT e non direttamente dalle vittime, cosa che dà la misura anche del livello di contezza dei rischi ancora non ottimale. In questo quadro si si aggiunge l’azione silenziosa dei gruppi di Advanced Persistent Threat (APT), attori statali o altamente strutturati focalizzati su campagne di spionaggio industriale e cyber spionaggio a lungo termine, che operano nell’ombra per compromettere la proprietà intellettuale.
Passando alla parte più normativa e pratica, è importante specificare che ACN ha dichiarato che solo una piccolissima percentuale delle vittime di attacchi ransomware è annoverata tra i cosiddetti soggetti critici con obbligo di notifica degli incidenti, ma è giusto anche specificare che non è un dato del tutto positivo, ma spiega che alcuni virus sono divenuti minacce parecchio diffuse anche nei bassi livelli, dove non fa troppo eco un’offensiva andata a segno. Per una impresa di piccole o medie dimensioni è quindi consigliato, da ACN, fare alcune azioni propedeutiche per ovviare quantomeno alla completa mancanza di coperture e di team dedicati alla sicurezza. Queste soluzioni sono banalmente un servizio EDR, una verifica della buona riuscita ed eventuale riutilizzabilità dei backup (ove effettuati) e limitare gli accessi remoti utilizzando reti VPN al posto di desktop remoti esposti in rete.
Di fronte a un quadro così complesso e in continua evoluzione, le aziende italiane si trovano quindi dinanzi alla necessità stringente di adeguarsi ai nuovi obblighi di compliance dettati dal recepimento della direttiva NIS2 e dall’introduzione dell’AI Act. Queste due novità non sono le uniche lanciate nell’ultimo anno, poiché è stata anche creata una autorità di vigilanza del mercato AI, il Cyber Resilience Act ed il Cyber Solidarity Act, che servono rispettivamente per le caratteristiche di sicurezza richieste sui prodotti digitali e per creare strategie di difesa europee contro gli incidenti. Tutte queste norme e regolamenti, messe assieme e funzionanti sia a livello nazionale che internazionale, stanno continuando a creare un sistema vero e proprio di obblighi digitali per chi opera in UE. Volendo stringere il cerchio sulle attività da portare avanti con grande priorità, nel nostro paese, a livello aziendale, ACN spiega che ci sono punti essenziali come una gestione corretta degli accessi, visto che le policy sono ancora evidentemente troppo vetuste; abbassare, come abbiamo accennato, la superficie che viene esposta all’esterno tramite dispositivi ed altri asset; essere più attenti alle vulnerabilità effettuando monitoraggi costanti; seguire la direttiva NIS2 non come una zavorra da portarsi dietro bensì come un modo per darsi delle regole migliori e ben definite; avere un piano di incident response serio, per non essere impreparati davanti agli imprevisti. Le priorità operative devono necessariamente spostarsi verso un approccio proattivo, in cui la sicurezza della supply chain e dei partner tecnologici di terze parti riceva la medesima attenzione riservata al perimetro interno, superando una delle vulnerabilità storicamente più sottovalutate. Diventa indispensabile quindi investire nel monitoraggio costante delle esposizioni, nella gestione tempestiva delle vulnerabilità zero-day e nel rafforzamento delle capacità crittografiche per anticipare le future sfide tecnologiche. La lezione fondamentale che emerge dalla Relazione dell’ACN è che la vera resilienza si costruisce attraverso la pianificazione e la prevenzione strutturale prima che l’attacco si verifichi, trasformando la cybersicurezza da mero costo manageriale a pilastro strategico per la continuità del business.
