La cybersecurity ha valicato i confini dei reparti IT ed è diventata una questione strategica che coinvolge imprese, istituzioni, supply chain e perfino gli equilibri geopolitici internazionali. Il 2025 sta mostrando con chiarezza come gli attacchi informatici abbiano cambiato natura: più rapidi, automatizzati, industrializzati e sempre più intrecciati con conflitti politici e interessi economici globali.
Oltre522 mila eventi di sicurezza in 240 aziende
A fotografare questo scenario sono i dati illustrati dagli esperti di Yarix, divisione di Var Group specializzata in soluzioni e servizi di cybersecurity, che evidenziano una crescita significativa sia nel numero degli eventi monitorati sia nella criticità degli attacchi rilevati. Secondo Marco Iavernaro, Global SOC Manager di Yarix, all’interno del Security Operation Center dell’azienda sono stati analizzati oltre 522 mila eventi di sicurezza che hanno riguardato circa 240 realtà, con un incremento medio mensile dell’8% rispetto all’anno precedente. Ancora più rilevante il dato relativo agli eventi critici, cresciuti del 62% su base annua.
“Gli eventi critici sono quelli che, se non fossero stati intercettati per tempo, avrebbero potuto portare a una compromissione – spiega Marco Iavernaro –. Nella maggior parte dei casi si traducono in attacchi ransomware o business email compromise, cioè compromissioni delle caselle di posta utilizzate per dirottare pagamenti e bonifici”.
Il settore maggiormente colpito continua a essere il manifatturiero, seguito da fashion ed energy. Un primato negativo dovuto, da un lato, alla forte presenza di aziende manifatturiere nel tessuto economico italiano e, dall’altro, alla presenza di infrastrutture legacy che rendono più complessa la protezione degli ambienti industriali.
La variabile decisiva oggi è il tempo
Il tempo, oggi, rappresenta la variabile decisiva. Gli attaccanti riescono a passare dall’accesso iniziale alla compromissione completa in poche ore, talvolta addirittura in minuti. “La finestra disponibile per rispondere in modo efficace a un attacco si sta riducendo sempre di più – osserva ancora Iavernaro –. L’utilizzo di strumenti di automazione e intelligenza artificiale consente agli attaccanti di identificare rapidamente nuovi punti di accesso e vulnerabilità”.
Accanto alle attività di monitoraggio, Yarix opera anche sul fronte della cyber intelligence, osservando ciò che accade all’esterno delle reti aziendali. Nel corso del 2025 sono stati gestiti oltre 4 mila eventi, di cui circa 3 mila legati a data leakage e data exposure, ovvero individuazione di dati aziendali trafugati e pubblicati su forum underground o marketplace criminali.
In crescita le minacce legate alle tensioni geopolitiche
Le minacce, però, non arrivano soltanto dalla criminalità informatica tradizionale. Sempre più spesso gli attacchi cyber sono collegati a tensioni geopolitiche internazionali. Un fenomeno che, secondo gli esperti, continuerà a crescere nei prossimi anni.
“Ci sono due blocchi principali – ha spiegato Mirko Gatto, socio fondatore e CEO di Yarix –. Da una parte le cyber gang che agiscono per profitto, dall’altra gli attori legati alla geopolitica che utilizzano il cyber per creare disturbo o protesta verso Paesi antagonisti. Lo abbiamo visto con la guerra in Ucraina, con il conflitto in Medio Oriente e con gli attacchi dimostrativi collegati alle Olimpiadi invernali”.
Secondo il manager, il cyber warfare sta assumendo un peso sempre maggiore anche nelle strategie internazionali. “La cybersecurity sta cambiando, diventa un anello fondamentale e può decidere le sorti di una guerra – ha affermato –. Oggi si parla sempre di più di guerra asimmetrica”.
Tra i gruppi più attivi vengono citati gli attori filorussi, protagonisti di campagne DDoS rivolte contro siti istituzionali e infrastrutture pubbliche. Attacchi che, almeno per ora, hanno principalmente una funzione dimostrativa, ma che potrebbero evolvere verso forme più aggressive e distruttive.
Due picchi per le attività ostili
Nel 2025 Yarix ha rilevato due picchi principali di attività ostili: uno tra giugno e luglio, collegato alle tensioni NATO e al conflitto Russia-Ucraina, e un secondo in ottobre, in concomitanza con l’anniversario degli attacchi del 7 ottobre in Medio Oriente.
“Oggi, gli attacchi denial of service siano soprattutto dimostrativi, ma ci aspettiamo un aumento della loro criticità– avverte Iavernaro –. Potrebbero avere impatti decisamente maggiori sia sulle realtà pubbliche sia su quelle private”.
A rendere ancora più complesso il quadro c’è l’evoluzione industriale del cybercrime. Diego Marson, Cyber Security Officer di Yarix, sottolinea come il ransomware sia diventato una vera filiera organizzata. “Assistiamo a una frammentazione e specializzazione molto avanzata degli attori coinvolti – spiega –. Ci sono gli initial access broker che vendono accessi compromessi sui forum underground, altri gruppi acquistano ransomware da terze parti e lo utilizzano per gli attacchi. Ogni attore si specializza e rende più efficace l’intera catena criminale”.
Secondo i dati analizzati dal team di Cyber Threat Intelligence, nel 2025 le pubblicazioni sui data leak site dei gruppi ransomware sono cresciute del 50%, raggiungendo circa 7.100 casi a livello globale. L’Italia rappresenta circa il 2,25% del totale mondiale, collocandosi al sesto posto tra i Paesi più colpiti.
Le regioni italiane maggiormente interessate sono Lombardia, Lazio, Emilia-Romagna, Veneto e Piemonte, che da sole concentrano circa il 75% delle pubblicazioni ransomware nazionali. Una distribuzione che ricalca fedelmente la struttura economica del Paese.
AI, la più grande opportunità per chi difende, ma anche per chi attacca
L’intelligenza artificiale rappresenta contemporaneamente la più grande opportunità difensiva e una delle principali armi offensive a disposizione degli attaccanti. “Siamo passati da una cybersecurity guidata dagli esseri umani a una cybersecurity gestita dall’AI con supervisione umana – ha dichiarato Gatto –. E questo vale anche per gli attaccanti”.
Secondo gli esperti, senza l’AI il sistema globale della cybersecurity sarebbe già stato travolto dalla quantità di eventi da gestire. L’intelligenza artificiale consente infatti di “eliminare il rumore di fondo”, permettendo agli analisti di concentrarsi sugli incidenti realmente critici.
“Il numero di eventi è diventato talmente elevato che senza l’intelligenza artificiale gli analisti sarebbero stati letteralmente travolti – ha sottolineaato Gatto –. Oggi l’AI permette agli specialisti di concentrarsi solo su ciò che è veramente importante”.
Proprio per questo, Yarix sta lavorando a un Security Operation Center di primo livello completamente guidato dall’intelligenza artificiale. Entro la fine di luglio partirà una prima fase di test operativo in modalità shadow, con automazione delle attività di triage e classificazione iniziale degli alert.
Quantum computing, il prossimo terremoto tecnologico nel mondo cyber
Parallelamente cresce l’attenzione verso il quantum computing, considerato il prossimo potenziale terremoto tecnologico nel mondo cyber. Secondo gli analisti, entro una finestra di tre-sei anni i computer quantistici potrebbero essere in grado di compromettere gli algoritmi crittografici tradizionali.
“Stiamo parlando di un vantaggio tecnologico equiparabile alla bomba atomica– ha affermato Gatto –. Se un Paese avesse già sviluppato una tecnologia quantum in grado di rompere gli algoritmi crittografici, probabilmente non lo dichiarerebbe”.
Yarix ha già avviato sperimentazioni nell’ambito della business email compromise utilizzando algoritmi quantum-based. I primi risultati mostrano prestazioni computazionali già comparabili ai sistemi classici, ma con prospettive di crescita esponenziale.
Il ruolo centrale di normative e sovranità digitale
In questo scenario, la direttiva europea NIS2 assume un ruolo centrale. Per Diego Marson la normativa ha avuto il merito di spostare definitivamente la cybersecurity dal perimetro tecnico a quello manageriale. “La NIS2 impone che il rischio cyber venga gestito dal top management – spiega –. Ha fatto emergere la consapevolezza che la cyber ecurity non è più un tema IT ma una questione di governance aziendale”.
L’obiettivo europeo è rafforzare la resilienza del sistema Paese, imponendo alle organizzazioni non soltanto misure di protezione ma anche capacità di risposta e continuità operativa.
Sul tavolo resta però un tema ancora più ampio: quello della sovranità digitale europea. “Oggi viviamo in una casa che non è nostra – osserva Gatto –. Dipendiamo quasi totalmente da piattaforme cloud e infrastrutture straniere. Se domani i grandi provider decidessero di interrompere l’accesso ai servizi, il sistema Paese rischierebbe di paralizzarsi”.
Secondo gli esperti, l’Europa sta iniziando solo ora a prendere coscienza del problema, ma il ritardo tecnologico rispetto a Stati Uniti e Cina resta enorme. Serviranno investimenti strutturali, politiche industriali coordinate e un sostegno concreto alla nascita di tecnologie europee nel cloud, nell’intelligenza artificiale e nella cybersecurity.
“Dobbiamo iniziare subito – conclude Mirko Gatto –. La NIS2 ha dato una visione europea, ma serve lavorare insieme, creare startup, allocare fondi e incentivare l’adozione di tecnologie made in Europe. Oggi siamo ancora fortemente in ritardo”. Perché il cyber non è più soltanto un problema di sicurezza informatica. È diventato un elemento cardine della competitività economica, della resilienza industriale e della stessa autonomia strategica dei Paesi europei.
