Le minacce informatiche stanno trasformando il settore finanziario e quali strategie adottare per affrontare i rischi emergenti e garantire resilienza operativa.
Le minacce informatiche hanno raggiunto livelli record nel 2025 nel settore finanziario, con un numero di attacchi che è più che raddoppiato, passando da 864 nel 2024 a 1.858 incidenti. Questa accelerazione evidenzia un cambiamento radicale nel comportamento degli autori delle minacce, che spazia da azioni ideologiche a veri e propri servizi criminali commercializzati.
L’Europa ha registrato la più alta concentrazione di attività DDoS, travolgendo portali finanziari e sistemi di pagamento, mentre i gruppi di ransomware hanno sfruttato le supply chain di tutti gli Stati membri dell’UE. Le configurazioni errate di cloud e SaaS hanno contribuito significativamente alle fughe di dati. L’impennata rispecchia anche le tensioni geopolitiche in corso.
Le banche europee devono rafforzare preparazione e resilienza, migliorare la condivisione transfrontaliera delle informazioni sulle minacce, sfruttando insight del dark web, analisi della vulnerabilità e rafforzamento del cloud, perché gli attaccanti continuano a sfruttare i sistemi finanziari interconnessi.
Shir Atzil, analista di cyber threat intelligence, Check Point Exposure Management Research
Il settore finanziario europeo è sotto pressione a causa delle incessanti campagne DDoS, dell’aumento dei ransomware e della persistente esposizione dei dati, una convergenza che riflette sia le tensioni geopolitiche sia il tessuto finanziario interconnesso del continente.
La situazione in Italia e in Europa
L’Italia si posiziona settima tra i Paesi europei più colpiti, con 14 attacchi, dietro Gran Bretagna (61), Francia (47), Germania (42), Spagna (30), Polonia e Finlandia (20), mentre Svizzera e Lituania chiudono la classifica con 11.
Nel 2025, in Europa si sono registrati:
74 incidenti da ransomware
47 defacement, legati a tensioni hacktiviste e geopolitiche
43 violazioni e fughe di notizie
Le principali tendenze di attacco
Attacchi DDoS: +105%, spinti da campagne hacktiviste coordinate.
Violazioni e fughe di dati: +73%, evidenziando debolezze in cloud, identità e terze parti.
Ransomware: 451 casi, con tattiche aggressive e ecosistemi RaaS maturi.
1. DDoS: la minaccia dominante
Gli attacchi DDoS sono diventati la minaccia più dirompente, passando da 329 incidenti nel 2024 a 674 nel 2025 (+105%). La maggior parte non era motivata da ragioni finanziarie, ma da campagne hacktiviste coordinate, spesso legate a fattori geopolitici, mirate a portali bancari e sistemi di pagamento.
Paesi più colpiti: Israele (112, 16,6%), Stati Uniti (40, 5,9%), Emirati Arabi Uniti (38, 5,6%), Ucraina (35, 5,2%) e Germania (34, 5%).
Molto importante è la centralizzazione degli attaccanti: Keymous+ (121 attacchi) e NoName057(16) (98 attacchi) hanno condotto campagne ad alto volume utilizzando botnet e infrastrutture condivise, aumentando l’impatto anche per chi ha competenze moderate.
Gli attacchi brevi e ripetuti hanno messo a dura prova la capacità di mitigazione DDoS, rendendo necessarie strategie di difesa multi-livello sempre attive.
2. Violazioni e fughe di dati: un rischio crescente
Gli incidenti da violazioni e fughe di dati sono aumentati da 256 nel 2024 a 443 nel 2025, evidenziando debolezze nella governance delle identità, cloud e integrazioni di terze parti.
Le campagne erano spesso furtive, con accessi a lungo termine e divulgazione ritardata. Gli Stati Uniti sono la zona più colpita (177 casi, 40%), seguiti da India (31) e Indonesia (24).
Il 33% degli incidenti è attribuito ad attori sconosciuti, evidenziando sofisticazione e difficoltà di tracciamento nel deep web e dark web.
Gruppi specializzati, come Breach Laboratory (43 incidenti), sfruttano configurazioni errate e credenziali rubate. Persistono problemi di bucket aperti, controlli permissivi e endpoint non monitorati, sottolineando la necessità di governance rigorosa e scansioni automatizzate.
3. Ransomware: minaccia sempre più sofisticata
Il ransomware rimane tra le minacce informatiche più gravi, con 451 incidenti (+68% rispetto al 2024). Le strategie includono crittografia, esfiltrazione, denigrazione pubblica e pressioni su dirigenti e clienti.
Obiettivi principali: Stati Uniti (196, 43,5%), Corea del Sud (31, 6,9%), Regno Unito (22, 4,9%) e Canada (16, 3,5%).
Gli attori principali, tra cui Qilin (83 incidenti), Akira (37) e Clop (19), utilizzano strumenti modulari e reti di affiliazione ben organizzate.
La crescente sofisticazione delle campagne di ransomware multi-estorsione impone alle istituzioni finanziarie di adottare strategie di difesa avanzate, poiché backup e ripristino tradizionali non bastano più.
Il futuro delle minacce informatiche nel settore finanziario
Cristiano Voschion, Country Manager Italia di Check Point
Il settore finanziario sta entrando in una nuova era di rischi informatici, caratterizzata da campagne DDoS, compromissione furtiva dei dati ed ecosistemi ransomware ad alto impatto. Le istituzioni devono passare rapidamente a modelli di sicurezza basati su intelligence, identità e monitoraggio costante per stare al passo con queste minacce.
Le minacce informatiche continuano a evolversi, richiedendo alle istituzioni finanziarie strategie proattive e strumenti avanzati per prevenire impatti finanziari e reputazionali.
