A poco più di un mese dall’inizio del 2026 iniziano ad apparire i primissimi report che fotografano la situazione di tutto l’anno precedente con tutti i dati a disposizione, e ciò può valere per qualsiasi ambito legato al mondo IT come, ad esempio, la cybersecurity. Ovviamente cerchiamo di restringere il più possibile l’ambito di analisi e per farlo ci avvaliamo delle informazioni pubblicate dal CERT-AgID e quindi riferite soltanto al nostro paese. Lo facciamo per capire quanto l’Italia è stata nel mirino degli hacker durante il 2025 e soprattutto come, per provare ad imparare come difendersi ed arrivare, forse, più preparati per i prossimi mesi. Questa analisi, sottolinea CERT-AgID, riguarda in particolare gli attacchi verso enti pubblici e soggetti privati che hanno aperto segnalazioni in modo attivo.
Partendo dai soli numeri, a tutto il 2025 sono state contate 3.620 campagne hacker che hanno portato alla condivisione, da parte di CERT-AgID, di oltre 50.000 Indicatori di Compromissione. Tra le campagne più segnalate troviamo sicuramente quelle di phishing che sfruttano il nome di PagoPA, che hanno superato le 320 diverse segnalazioni, facendo perno sul senso di urgenza e sui pagamenti in scadenza, principalmente per multe stradali. Abbiamo diffusamente raccontato anche dell’aumento di campagne veicolate mediante caselle PEC violate in precedenza, minacce salite dell’80% rispetto al 2024 e che mirano a rubare accessi ai sistemi bancari oppure per rubare account PEC e continuare a diffondersi. Sembra invece che sia diminuita del 23% la quantità di campagne smishing, ovvero il phishing via SMS, ma sono aumentate quelle che tramite questi messaggi più “comuni” mirano a fare installare sugli smartphone alcuni malware. Aumenta, come abbiamo raccontato, anche dell’utilizzo della tecnica chiamata ClickFix, che in tutto il mondo si sta diffondendo a macchia d’olio e che mira a rubare informazioni tramite l’installazione di un virus. Il sistema operativo maggiormente bersagliato dalle campagne malevole è infine Android, colpito da un aumento del 55% rispetto all’anno precedente e principalmente da SMS malevoli. Come argomento per fare breccia viene usato maggiormente quello degli ordini eseguiti online.
Vedendo più nel dettaglio tutti questi dati uno ad uno, partiamo dal phishing PagoPA, che mira al furto di dati, che fanno sempre comodo agli hacker, così come delle carte di credito. Queste campagne si sono affacciate in Italia nello scorso marzo e a tutto il 2025 ne sono state contate in tutto quasi 330, con un picco ed un’accelerazione importanti avvenuti a maggio. Per le truffe veicolate con caselle PEC, invece, principalmente vengono usate caselle già compromesse ma sono state anche notate campagne per le quali le caselle di posta certificata erano state appositamente create ex novo, ma ovviamente anche disattivate una volta segnalati i messaggi. Nonostante l’aumento massiccio di queste campagne, per il 2025 le PEC sono state veicolo di truffe al 2,8%, scesa a dire la verità rispetto al 2024, ma ciononostante sono aumentati vertiginosamente i numeri. Come abbiamo detto, cala lo smishing ma aumentano le campagne che mirano all’installazione di malware nei dispositivi degli utenti italiani, sfruttando nel primo caso i nomi degli enti italiani, AgID inclusa. Passando rapidamente al ClickFix, senza spiegare nuovamente di cosa si tratta, si segnala che la prima campagna segnalata nel nostro paese che utilizzava questa tecnica risaliva già a gennaio dello scorso anno, per poi diffondersi a macchia d’olio ed arrivare a 70 campagne totali che miravano a distribuire malware molto noti. CERT-AgID, poi, fa un piccolo excursus al quale si sta assistendo ormai da più di due anni e che coinvolge la AI, che sta diventando sempre più usata dagli hacker per creare rapidamente le campagne e modificarle altrettanto velocemente in corso d’opera per migliorarle in tutto e per tutto.
Scendiamo nei numeri e ripartiamo dal totale di 3.620 campagne riscontrate nel 2025, alle quali si aggiunge l’identificazione di 90 diversi ceppi di malware, principalmente infostealer e, anche se molto meno, Remote Access Trojan. I marchi sfruttati per lanciare campagne di phishing sono stati in tutto 153, e non dimentichiamoci anche il danno che viene arrecato ad essi, per rubare informazioni di vari tipi ma principalmente per gli accessi ai sistemi bancari ed email fino al furto diretto di denaro come per il phishing su PagoPA, che prevedeva direttamente un pagamento con carta di credito. I virus più riscontrati in Italia nel 2025 sono stati invece Formbook, Remcos e AgentTesla, tutti molto vicini nelle prime tre posizioni e, come abbiamo detto, tutti di tipo infostealer e RAT che, va precisato, funzionano col modello Malware As a Service e quindi vengono forniti ad hacker meno esperti come servizi. Nella classifica dei malware più utilizzati ci sono anche quelli che vengono utilizzati come intermezzo in attacchi più ampi, ovvero i cosiddetti loader e dropper, che preparano il campo e poi dare modo di effettuare l’attacco vero e proprio in un secondo momento, tramite il noto virus MintsLoader ad esempio che viene diffuso nelle campagne via PEC.
Passando poi alle “scuse” che vengono usate maggiormente nelle campagne di distribuzione di malware partiamo dicendo che al primo posto c’è il tema degli ordini che totalizza in tutto il 22% delle segnalazioni nel 2025 e viene seguito dal tema bancario con il 12%. Scendendo nella classifica troviamo moltissimi altri temi che fanno riferimento al mondo delle amministrazioni come le fatture, i documenti, i preventivi ed i contratti, mentre fuori da questo micro-mondo vediamo un 6,9% per i servizi delivery ed un 5,3% per le prenotazioni di viaggio. Se poi guardiamo alle “scuse” usate per il phishing invece al primo posto troviamo le multe e sempre i temi bancari, che fanno un testa a testa tra il 15 ed il 16%, mentre le altre motivazioni sono tutte molto più in basso ma comprendono il mondo dei rinnovi, i finti messaggi di email non inviata, falsi avvisi sulla capienza delle caselle o sulla sicurezza, sospensioni di servizi ed anche vincite di prodotti o denaro. CERT-AgID ci tiene a fare una riflessione in merito a questi temi per sottolineare che le banche sono da sempre uno dei temi preferiti degli hacker mentre le multe sono una assoluta novità per l’ultimo anno, visto che nel 2024 e nei precedenti le percentuali per questo tipo di truffa erano molto più basse.
Come anticipato in precedenza, la posta elettronica ordinaria domina letteralmente la classifica dei vettori di diffusione delle campagne e delle minacce web con il 91% di casi, mentre SMS e PEC totalizzano relativamente il 5,2 e il 2,8%, percentuali basse ma comunque da guardare con preoccupazione in termini del tutto relativi. Passando ai sistemi operativi, abbiamo già detto che sono aumentate ancora le minacce rivolte verso i dispositivi Android, ben del 55%, con i malware Copybara, Irata e SpyNote nelle prime posizioni della classifica dei malware più riscontrati. Per Android ovviamente le minacce principali sono quelle veicolate con SMS per chiedere aggiornamenti urgenti o installazioni, utilizzando link che fanno scaricare file APK malevoli. Le applicazioni proposte e da installare “obbligatoriamente” sono perlopiù app fasulle per home banking. Passiamo rapidamente la parte del report che ci spiega che i formati di file maggiormente diffusi per fare installare virus alle potenziali vittime sono sicuramente le cartelle Zip e Rar, che riescono a passare meglio i vari filtri dei mail server, mentre nel 20% dei casi si parla di file contenenti script, come ad esempio i JS ed i VBS, ma si arriva a scaricarli mediante file eseguibili (i .EXE). Ne parliamo spesso, quindi meritano una menzione anche i file che si usano per salvare i documenti come i PDF, gli Excel e i PowerPoint, oltre ovviamente a tutte le loro varianti gratuite, che vengono riscontrati nel 10% delle campagne di diffusione di malware. Fa invece impressione pensare che il 4,4% dei casi totali di file malevoli sono di tipo APK, che come spiegato nel paragrafo precedente servono per installare applicazioni sui sistemi Android.
Terminiamo la panoramica sul report di CERT-AgID parlando delle conseguenze dell’esposizione ad un malware di tipo infostealer, che nel 2025 ha portato al furto di dati e informazioni che poi vengono rivendute su canali come forum per hacker, canali di messaggistica e social. Mettendo la lente d’ingrandimento sul solo furto di credenziali di PEC e di account di proprietà delle PA si parla, per l’ultimo anno, di ben 89 furti di informazioni, tra le quali figurano mezzo milione di indirizzi email di amministrazioni pubbliche, dati personali di dipendenti pubblici e, in più del 75% dei casi, sono state pubblicate anche le credenziali d’accesso. Il caso più eclatante è quello degli alberghi italiani, avvenuto nell’estate scorsa, col quale sono state rubate moltissime informazioni e scansioni di documenti di identità appartenenti ai clienti di ogni nazionalità. Questo è avvenuto a seguito, ovviamente, di accessi malevoli, e si è ripetuto anche successivamente coinvolgendo moltissime strutture di accoglienza, arrivando a trafugare ben 70.000 documenti a 12 hotel, segno della diffusione a macchia d’olio della minaccia e dello scarso livello di protezione di queste strutture, cosa che è stata notificata anche da AgID.
Per questa panoramica è tutto, invitiamo tutti a leggere l’intero report di CERT-AgID (v. fonte a fondo pagina) ed aspettiamo l’inizio del 2027 per vedere il prossimo report, nella speranza di un miglioramento dei dati e di qualche buona notizia.
Fonte: 1
