Kaspersky tira le somme sulla cybersecurity nel 2025
Cybersecurity sotto pressione: Kaspersky descrive l’evoluzione delle minacce globali, dal malware all’AI, e le sfide future per imprese, finanza e industria.
Kaspersky ha invitato la stampa per tirare le somme sull’anno ormai in chiusura, occasione in cui ha condiviso aggiornamenti e insight sul panorama della cybersecurity. Hanno partecipato Cesare D’Angelo, General Manager Italy, France & Mediterranean, Noushin Shabab, Lead Security Researcher GReaT, e Fabio Sammartino, Head of Pre-Sales.
2025: i dati sull’Italia, in particolare sulle PMI
Una ricerca condotta per conto di Kaspersky e commissionata ad Arlington Research ha coinvolto 880 figure con ruoli significativi nel settore della cybersecurity, operanti in aziende con meno di 500 dipendenti in Europa. Secondo i dati raccolti, l’Italia ha registrato il 25% degli attacchi alle PMI rilevati in Europa, principalmente sotto forma di PUA (Potentially Unwanted Applications) e malware che imitavano brand legittimi. Il quadro che emerge è chiaro: le PMI non sono solo nel radar dei cybercriminali, ma rappresentano uno dei loro obiettivi principali.
Cesare D’Angelo Ma cosa manca, cosa preoccupa e cosa chiedono le PMI? In base all’analisi dello stato della cybersecurity nelle piccole e medie imprese italiane, solo il 25% delle PMI dispone di una solida strategia di cybersecurity, mentre il 68% ha strategie solo teoriche che non producono effetti concreti. Le richieste delle aziende ai fornitori di soluzioni di sicurezza sono precise: il 25% chiede chiarezza sui rischi reali e spiegazioni semplici dai vendor. Sul fronte operativo, il 33% delle PMI riceve troppi avvisi, mentre il 30% ritiene il monitoraggio delle minacce un lavoro a tempo pieno.
Le carenze strutturali nella cybersecurity sono evidenti: il 17% non dispone di personale qualificato e, secondo il 25% degli intervistati, i C-Level non riconoscono ancora la rilevanza della cybersecurity. Le priorità indicate dalle PMI sono tre, ciascuna segnalata dal 25% delle aziende: strategie a lungo termine, sicurezza di base e formazione sulla consapevolezza dei dipendenti.
La situazione nel mondo
Studiando i dati ottenuti tramite Kaspersky Sandbox, la soluzione di sicurezza aziendale progettata per analizzare il comportamento di file e programmi in ambienti isolati (virtuali) per rilevare minacce avanzate e malware sconosciuti, si vede che a livello globale è stata individuata una media di 500.000 file dannosi al giorno nel 2025, con un aumento del 7% rispetto all’anno precedente.
L’evoluzione temporale evidenzia una crescita costante: in media, i file dannosi rilevati dalle soluzioni di sicurezza Kaspersky dal 2021 al 2025 sono passati da 380.000 a 500.000, con una progressione anno dopo anno. Windows rimane l’obiettivo principale degli attacchi informatici: il 48% degli utenti Windows è stato colpito da diversi tipi di minacce nel 2025, contro il 29% degli utenti macOS.
La crescita del malware è particolarmente marcata in specifiche categorie: i password stealer sono aumentati del 65% in Italia e del 59% nel mondo, lo spyware del 148% nel nostro Paese contro il 51% a livello globale, i backdoor del 73% in Italia a fronte del 6% nel mondo. Questi numeri rendono evidente la crescita costante del volume, della complessità e dell’automazione degli attacchi. In estrema sintesi, la superficie d’attacco aumenta più della capacità di difesa. Diventa quindi fondamentale per le aziende una threat intelligence aggiornata e approfondita.
Cybersecurity finanziaria e industriale: le minacce del 2025 e le previsioni per il 2026
Il settore finanziario e quello industriale si confermano tra i principali bersagli dei cybercriminali, con dinamiche in rapida evoluzione che richiedono nuove strategie di difesa. I dati rilevati da Kaspersky nel 2025 evidenziano un panorama di minacce sempre più sofisticato e pervasivo.
Il settore finanziario sotto attacco
Nel 2025, l’8,15% degli utenti del settore finanziario ha affrontato minacce online, mentre il 15,81% ha dovuto fronteggiare minacce locali. Il dato più allarmante riguarda le aziende B2B del comparto finance: il 12,8% ha subito attacchi ransomware nel corso dell’anno. Rispetto a due anni fa, il numero di utenti unici che hanno individuato codice ransomware è cresciuto del 35,7%, mentre sono stati rilevati oltre 1,3 milioni di attacchi tramite trojan bancari.
Noushin Shabab Tra i trend più significativi che hanno caratterizzato l’anno spiccano gli attacchi su larga scala alla supply chain, dove vulnerabilità di terze parti si sono propagate attraverso le reti di pagamento compromettendo i sistemi centrali. La criminalità organizzata ha intensificato la convergenza con il cybercrime, come dimostrato dagli attacchi al sistema di pagamento PIX, il sistema di pagamento istantaneo brasiliano creato dalla Banca Centrale del Brasile.
Per il 2026, gli esperti di Kaspersky anticipano che i trojan bancari saranno riscritti per essere distribuiti tramite WhatsApp, mentre cresceranno i servizi di deepfake e intelligenza artificiale destinati al social engineering. Si prevede la comparsa di infostealer regionali e un aumento degli attacchi ai pagamenti NFC.
L’avvento dell’AI agentica nel malware rappresenta una nuova frontiera: sistemi intelligenti capaci di adattarsi autonomamente. Le frodi classiche adotteranno nuovi metodi di distribuzione e persisterà il fenomeno dei dispositivi pre-infetti “out of box“.
Il settore industriale nel mirino
Anche il comparto industriale registra dati allarmanti. Tra i trend principali del 2025 emergono lo sfruttamento della supply chain e delle relazioni di fiducia, gli attacchi potenziati dall’intelligenza artificiale e le offensive contro apparecchiature OT esposte su internet.
Le previsioni per il 2026 per il settore industriale indicano possibili interruzioni nelle catene logistiche globali e di approvvigionamento, specialmente nel settore energetico e high-tech. Aumenteranno gli incidenti che coinvolgeranno obiettivi non classici come i trasporti intelligenti, gli edifici smart e i satelliti.
Gli attaccanti stanno gradualmente spostando il focus da Europa e Stati Uniti verso Asia, Medio Oriente e America Latina. Si prevede un incremento di attacchi a livello regionale, che sfruttano vendor locali e tecniche di social engineering mirate geograficamente. L’intelligenza artificiale sarà sempre più coinvolta nelle operazioni malevole.
Dark web e threat intelligence: l’industria del cybercrime si professionalizza
Il mercato del lavoro nel dark web si è strutturato come una vera e propria industria organizzata, con ruoli definiti, competenze specializzate e gerarchie salariali che rispecchiano il valore delle diverse figure professionali nel crimine informatico.
Secondo i dati raccolti da Kaspersky, gli sviluppatori rappresentano il 45% delle specializzazioni più richieste nel dark web, seguiti dai penetration tester (32%), designer (7%), analisti (4%) e reverse engineer (4%). Le retribuzioni medie riflettono la domanda: un reverse engineer può guadagnare fino a 5.000 dollari al mese, un penetration tester 4.000 dollari, mentre gli sviluppatori si attestano sui 2.000 dollari mensili.
Il sistema criminale del dark web si adatta velocemente ai cambiamenti tecnologici e normativi. Piattaforme come Telegram sono diventate particolarmente complesse da monitorare, trasformandosi in veri e propri marketplace commerciali automatizzati per il cybercrime. Le funzionalità come i bot consentono un’automazione su larga scala delle attività criminali, facilitando operazioni di carding e altre frodi, vendita di malware e servizi di doxing.
La cyber intelligence come strumento preventivo
Un dato cruciale emerso dall’analisi di Kaspersky è che i primi segnali di un attacco non arrivano dai log di sistema, ma dalle discussioni nel dark web. Tracciare questi segnali permette di comprendere chi si sta preparando a colpire, quali capacità sta sviluppando e dove potrebbe dirigere l’offensiva.
Il ciclo di un attacco segue fasi identificabili: annunci sul dark web, pianificazione dell’attacco, fino all’attacco imminente. I vettori di accesso iniziali più comuni includono applicazioni pubbliche vulnerabili esposte (40% dei casi) e account validi compromessi (30%). Le minacce si materializzano attraverso credenziali compromesse, vulnerabilità esposte, offerte o richieste di servizi illegali, vendita di credenziali o accessi a infrastrutture, fino ai tentativi di violazione del perimetro aziendale.
La threat intelligence come fondamento della difesa moderna
Fabio Sammartino La threat intelligence si configura come elemento imprescindibile della sicurezza informatica contemporanea, articolandosi su quattro pilastri fondamentali. Innanzitutto fornisce un contesto strategico, offrendo una visione aggiornata degli attori delle minacce e degli attacchi indirizzati alla propria organizzazione. In secondo luogo alimenta le soluzioni avanzate di detection come EDR e XDR, consentendo una risposta più rapida agli incidenti. Il terzo pilastro riguarda il rilevamento delle infrastrutture di comando e controllo, permettendo l’identificazione precoce di connessioni malevole e una qualificazione rapida degli incidenti. Infine, supporta la detection proattiva: i servizi di cybersecurity, alimentati dalla threat intelligence, riescono a rilevare gli incidenti nelle fasi iniziali dell’attacco, quando è ancora possibile contenere i danni.
Per affrontare questo scenario, Kaspersky identifica quattro aree di intervento prioritarie. La prima consiste nel migliorare la capacità degli strumenti di detection attraverso threat data feeds e digital footprint intelligence. La seconda area riguarda l’ampliamento della visibilità sui punti di accesso per ridurre la superficie attaccabile, utilizzando strumenti di threat lookup e threat analysis.
Il terzo intervento prevede l’adozione di strumenti di analisi avanzata per identificare gli attacchi più sofisticati, supportando gli analisti dei SOC. Infine, l’analisi strategica e la produzione di intelligence reporting sugli attacchi più complessi permettono di adattare i processi di difesa in modo dinamico.
