Nei giorni scorsi abbiamo parlato dei dati diffusi da Clusit come anteprima del suo report 2025 sulla cybersecurity a livello globale con uno zoom particolare, ovviamente, sul nostro paese. Passiamo oggi, invece, ad un’altra delle voci autorevoli del paese oltre che fonte ufficiale nazionale e governativa, vale a dire ACN, che come sappiamo è l’Agenzia per la Cybersicurezza Nazionale, e dei report pubblicati sul portale CSIRT, che fanno il punto mensile sulle nuove minacce riscontrate e che di semestre in semestre informano sull’andamento della cybersecurity.
La nostra breve panoramica di analisi del file PDF regolarmente scaricabile all’interno del sito ACN (vedi nelle fonti al termine dell’articolo) parte con una falsa buona notizia, ovvero che nei secondi sei mesi del 2025, nel nostro paese, sono calati gli incidenti gravi rilevati dai sistemi di monitoraggio, ma tutto ciò ci bilancia purtroppo con una crescita piuttosto netta dei volumi degli eventi, ovvero la loro grandezza e pericolosità. Passando ai numeri, nel secondo semestre del 2025, l’ACN ha censito 1.253 eventi cyber, segnando un aumento del 30% rispetto allo stesso periodo dell’anno precedente. Paradossalmente, gli incidenti con impatto confermato sono scesi del 25%. Questo fatto è positivo e si può spiegare tramite due diversi fattori ovvero, da una parte, il rafforzamento del CSIRT Italia, che ha permesso di individuare minacce e fattori di rischio prima che diventassero critici, mentre dall’altra abbiamo l’entrata definitiva in vigore della Direttiva NIS2, che obbliga ad essere maggiormente trasparenti nelle comunicazioni riguardanti gli eventi e gli attacchi.
Uno dei fatti che impressionano maggiormente all’interno del report è il dato sugli attacchi DDoS (Distributed Denial of Service), che hanno registrato un balzo del 101%. Queste campagne, spesso legate a tensioni geopolitiche internazionali e dinamiche di hacktivismo, hanno preso di mira soprattutto la Pubblica Amministrazione, i Trasporti e le Telecomunicazioni. Come sappiamo molto bene, questo genere di attacco è ormai onnipresente nei report che mensilmente vengono redatti dagli esperti di sicurezza italiani e non sono pochi i casi che abbiamo documentato anche su questo blog riguardanti attacchi DDoS a PA ed altre aziende strategiche italiane specialmente a partire dal 2022, quando è iniziata l’invasione russa in Ucraina. Anche per quest’ultima fattispecie di attacco, così come quelle che abbiamo visto più volte, c’è la buona notizia di aver avuto alti volumi ma impatti reali rimasti molto bassi. A quanto pare infatti solo il 7% di queste campagne ha dato disservizi misurabili e questo è stato possibile grazie all’azione di CSIRT, che ha aiutato nella mitigazione degli attacchi.
Passiamo alla perdita di dati ed alla loro esposizione online per vedere che rispetto al secondo semestre del 2024 le statistiche sono purtroppo in netto peggioramento, a partire dagli eventi già raccontati più volte e riguardanti l’enorme data breach delle strutture alberghiere avvenuto nell’agosto 2025, che ha contribuito certamente all’innalzamento dei numeri. A tale proposito, le rilevazioni di esposizione di informazioni sono passate in un solo anno da 153 a 232 ed oltre al caso-alberghi, hanno avuto particolare peso anche i data leak di settembre a diverse realtà come gli account istituzionali, finiti nel mirino con oltre 100 casi di compromissione tramite malware di tipo infostealer rilevati a novembre. Questa breve panoramica termina poi con le attività di prevenzione effettuate da ACN, che ci tiene a precisare che ha questo doppio ruolo di avviso ma anche di osservazione. Da questo punti di vista, nel secondo semestre 2025 sono state emanate più di 23.000 avvisi di allerta, con alcune vulnerabilità molto più critiche di altre tra le quali spiccano quella di Microsoft SharePoint e quella di Citrix NetScaler. Tra le altre minacce, nella lunghissima lista proposta per ogni mese del semestre all’interno del report, spiccano principalmente la botnet chiamata Raptor Train e la vulnerabilità CVE-2025-55182 relativa al prodotto Meta React Server, che ha riguardato diversi utenti.
Come riflessione di chiusura, prima di invitare alla lettura del report dettagliato di ACN, ricordiamo che per gestire gli attacchi cyber la difesa può certamente provenire dalle soluzioni tecnologiche, ma anche dalle procedure. Proteggere le credenziali, configurare correttamente gli accessi remoti e rispondere prontamente agli alert di sicurezza, inviati da ACN ma non solo, sono passi fondamentali per non diventare parte delle statistiche del prossimo semestre.
Fonte: 1
