CybergON ha presentato il Data Gathering 2025, quarta edizione del report che svela la nuova mappa del cybercrime e fa il punto sullo stato dell’arte della cybersecurity in Italia. L’indagine di CybergON, business unit di Elmec Informatica dedicata alla cybersecurity, si basa sull’attività di monitoraggio e risposta su un campione di 173 aziende di diversi settori merceologici. Rispetto all’anno precedente, il dataset preso in esame si è ampliato e prende in considerazione circa 54.000 asset IT suddivisi in hardware, come dispositivi personali, server, router e firewall, e software.
Serve un cambio di passo nella difesa aziendale
Il panorama della sicurezza informatica nel nostro Paese è sempre più complesso e instabile. La crescita degli attacchi IT, favorita dall’uso di tecnologie avanzate come l’AI e dall’evoluzione del crimine informatico in modalità ‘as-a-service’ impone un cambio di passo nella difesa aziendale. In questo scenario di ‘guerra digitale permanente’, il monitoraggio continuo e la condivisione dei dati diventano fondamentali per affrontare una minaccia che non conosce confini, né tregua.
Elisa Ballerio, Security Marketing Director and Communication Coordinator di Elmec Informatica Siamo entrati in quella che si può definire una nuova forma di normalità. In essa l’attacco informatico non è più solo un’eventualità, ma è diventato una certezza. Per questo oggi è imprescindibile per le aziende investire in prevenzione, formazione e collaborazione proattiva. Si deve lavorare per creare una cultura della resilienza informatica.
Il cybercrime e il ruolo cruciale dell’AI e del fattore umano
Ciò che salta immediatamente all’occhio dallo studio è che l’andamento degli incidenti cyber nel nostro Paese è in continua crescita. E questo a causa di strumenti di attacco evoluti come l’AI generativa e di modelli as-a-service. Questi permettono anche ad attori con competenze tecniche meno avanzate di sfruttare strumenti più evoluti in grado di violare le infrastrutture aziendali. Basti pensare che solo nel 2024 rilevati 13.000 incidenti informatici e 20.500 anomalie nei sistemi aziendali italiani. Di questi, il 70% con impatto grave è stato causato da campagne di phishing e ransomware, grazie alla disponibilità di malware già pronti all’uso in modalità Ransomware-as-a-Service.
L’importanza della collaborazione tra enti governativi, vendor e realtà private
Secondo lo studio di VulnCheck, le vulnerabilità attivamente sfruttate nel 2024 sono aumentate del 20% e tra quelle critiche, il 23% indicizzato come zero day. Quelle sfruttate sono prevalentemente legate ai sistemi aziendali esposti su internet o a disposizione della supply chain. Questo dato rappresenta un chiaro segnale di un cybercrime sempre più efficace e sottolinea come la collaborazione tra enti governativi, vendor e realtà private sia fondamentale per rafforzare i sistemi di difesa dell’intero ecosistema digitale.
Infine, nel Data Gathering 2025 di CybergON si sottolinea come il tempo di fermo in caso di attacco pervasivo può variare tra i 7 e i 14 giorni. Mentre il tempo necessario per recuperare almeno l’80% dell’operatività è influenzato da diversi fattori. Come l’organizzazione e le attività svolte dall’azienda colpita e le procedure di remediation previste. Per questo, tale tempistica può oscillare tra le 2 settimane e i 2 mesi.
Cybercrime – Aumentano le connessioni malevole da Paesi Europei
Analizzando la provenienza delle attività malevole nel 2024, si osservano due trend. Il primo è che sono diminuiti i tentativi di attacco con origine nei Paesi emergenti e sono cresciute le connessioni generate dagli Stati occidentali da attribuire al rafforzamento delle difese aziendali. Ciò richiede tecniche di attacco più sofisticate e attori più competenti, ma anche all’uso crescente di grossi cloud provider europei come punto di partenza per gli attacchi, sia alle grandi aziende, che alle PMI.
La situazione delle piccole aziende
Il secondo riguarda proprio la crescita esponenziale delle attività malevole provenienti dall’Italia. Arrivando a rappresentare il 98% degli attacchi totali verso le piccole aziende. Le possibili motivazioni includono il costo inferiore delle competenze tecniche nel mercato del cybercrime italiano. Oltre alla necessità degli hacker di utilizzare risorse locali per eludere i sistemi di difesa basati sulla sorgente delle connessioni, dato che molte aziende considerano attendibili le connessioni nazionali.
Da dove arrivano gli attacchi informatici
Pertanto, attaccando aziende italiane dall’Italia è possibile bypassare facilmente un primo livello di sicurezza. A questo proposito, dal report è possibile riconoscere l’esistenza di tre differenti top 5 di aree da cui provengono la maggior parte delle minacce informatiche stilate in base alla dimensione delle imprese prese in esame. Per quanto riguarda le grandi aziende, la maggior parte dei tentativi di attacco è stata rilevata in Spagna, Azerbaijan, Bulgaria, Italia e Romania. Nella fascia delle medie imprese risultano invece attive principalmente Irlanda (che riflette la collocazione dei principali data center AWS in Europa), Azerbaijan, Germania, Italia e Canada.
L’elenco dei Paesi
Infine, per quanto riguarda il segmento delle piccole imprese, al primo posto l’Italia, che nell’arco di un anno ha scalato la classifica fino a rappresentare il 98% degli eventi malevoli intercettati. Seguono Germania, Olanda, Russia, Hong Kong. Rimangono attivi in questa fascia anche gruppi provenienti da Paesi in via di sviluppo come Egitto e Panama, i cui attacchi sono spesso facilitati dai livelli di protezione generalmente meno avanzati delle piccole aziende. Permettendo così l’accesso anche a cyber criminali con competenze meno evolute.
Quali saranno i trend del cybercrime
Da una prima analisi degli attacchi verificatisi tra gennaio e febbraio 2025, è stato rilevato un +300% delle rivendicazioni di gang criminali sul campione preso in esame dall’indagine di CybergON. Questo dato permette di fare delle riflessioni iniziali su cosa ci si deve aspettare nel 2025. Una prima novità riguarda ancora una volta la geografia degli attacchi. Compaiono infatti nuove nazioni nella top 5 con Irlanda al primo posto e l’Italia al terzo. In particolare, le Filippine occupano il secondo posto e gli Stati Uniti si posizionano al quarto. Nel primo caso non è certa la causa di questa crescita.
Alcune ipotesi
Tra le ipotesi l’attivazione di una nuova cellula di cyber criminali, così come l’appoggio a sistemi IT presenti sul territorio come punto di partenza degli attacchi. O ancora lo sfruttamento di un’infrastruttura privata con sede nelle Filippine controllata illecitamente da attori malevoli. Nel caso degli Usa, il motivo potrebbe essere la presenza sul territorio di importanti cloud provider, tra cui Google, utilizzati come punto di partenza per i tentativi di attacco. Non è da escludere l’influenza legata all’evoluzione della posizione di questo Paese in ambito geopolitico.
Il ruolo delle nuove normative nazionali ed europee
In questo quadro è importante sottolineare come l’aumento degli incidenti rilevati sia influenzato anche dalle normative entrate in vigore di recente, come DORA e NIS2. Disposizioni che impongono standard di sicurezza più elevati e una maggiore trasparenza in caso di incidenti. In particolare, la NIS2, con l’obbligo di comunicare gli incidenti all’Agenzia Nazionale per la Cyber Security a partire dal 2026, promuove la condivisione di informazioni per limitare la diffusione degli attacchi e velocizzare le risposte. Si prevede quindi un trend di crescita nelle segnalazioni di incidenti per tutto il 2025 e un’ulteriore impennata nel 2026. In questo scenario complesso, la collaborazione tra enti pubblici, associazioni e aziende è cruciale per innalzare il livello generale di difesa e contrastare il cyber crime.
