Cybercrime 2025: il ruolo dell’AI, l’impatto del ransomware e il rischio Italia

Dal phishing alle piattaforme collaborative, l’AI trasforma il cybercrime. Il Cyberthreats Report H2 2025 di Acronis mostra come crescono ransomware e non solo...

3 Marzo 2026 Patrizia Godi
cybercrime cybersecurity

Nel 2025, il team di ricerca di Acronis ha assunto un ruolo centrale nel rafforzare la sicurezza dei partner a livello globale, consolidando una strategia fondata su analisi proprietarie, telemetria estesa e capacità di risposta integrate al cybercrime. In questo contesto si inserisce la pubblicazione dell’ Acronis Cyberthreats Report H2 2025: From exploits to malicious AI, il report semestrale che analizza l’attività delle minacce a livello globale sulla base dei dati raccolti dai sensori proprietari e analizzati dall’Acronis Threat Research Unit.

Cybercrime sempre più industrializzato

Secondo gli analisti, la seconda metà del 2025 ha segnato un passaggio strutturale nell’ecosistema del cybercrime. Non si tratta più soltanto di un aumento dei volumi di attacco, ma di una trasformazione industriale del fenomeno.

cybersecurity

Questa volta il report evidenzia un’evoluzione più strutturale dell’ecosistema di cybercrime – spiega Irina Artioli, Security  Consultant di Acronis –. Non parliamo semplicemente di più attacchi, ma di automazione, scalabilità e industrializzazione delle attività criminali online”. I numeri confermano la tendenza: oltre 7.600 vittime di ransomware registrate a livello globale nel 2025, di cui circa 150 tra MSP e fornitori di servizi di telecomunicazione, categorie che restano bersagli strategici per l’effetto moltiplicatore che un singolo attacco può generare.

Phishing, PowerShell e nuove superfici di attacco

La telemetria raccolta conferma PowerShell come l’applicazione legittima più abusata dagli attaccanti, mentre il phishing rappresenta l’83% delle minacce veicolate tramite email. Le vulnerabilità individuate nelle piattaforme MSP sono state numericamente contenute, ma tutte classificate come a gravità alta o critica, a testimonianza di un rischio operativo significativo. Nel 2025 gli attacchi email per organizzazione sono cresciuti del 16%, mentre quelli per singolo utente del 20%, segno di una pressione crescente sia sul piano aziendale sia individuale. Ancora più marcato l’incremento degli attacchi avanzati sulle piattaforme di collaborazione, passati dal 12% del 2024 al 31% del 2025, indicazione chiara di una migrazione verso canali post-email come chat e strumenti di produttività condivisa.

L’AI come modello operativo del cybercrime

L’intelligenza artificiale è ormai parte integrante delle operazioni criminali. “Non stiamo più parlando di esperimenti o casi isolati – osserva Umberto Zanatta, Senior Solutions Engineer, CISM e CISSP di Acronis –.

supply chain

L’AI applicata al cybercrime è diventata un modello operativo”. Dalla ricognizione all’intrusione, fino alla negoziazione del riscatto e alla monetizzazione dei dati sottratti, l’AI accelera tutte le fasi della kill chain, riducendo lo sforzo umano e aumentando velocità e scalabilità. In alcuni casi, sottolinea Zanatta, le vittime si trovano a interagire con agenti automatizzati persino durante la trattativa economica.

Il quadro italiano: esposizione costante e settori colpiti

Il panorama italiano si inserisce in questo contesto europeo con caratteristiche peculiari. Gli attacchi non sono casuali, ma seguono andamenti prevedibili e concentrati in periodi specifici dell’anno, come febbraio o ottobre, spesso in corrispondenza di finestre di maggiore esposizione dei sistemi. L’Italia registra un’esposizione costante, con tassi intorno al 2,3% rispetto ai workload protetti con Active Protection, inferiori rispetto ad altri Paesi europei ma comunque significativi. Tra i settori più colpiti primeggia il manifatturiero, seguito da altri comparti produttivi.

Uno degli schemi più ricorrenti è quello dell’abuso di credenziali valide, spesso reperite nel dark web, associate a sistemi di accesso remoto lasciati esposti.

Ransomware e doppia estorsione: i gruppi attivi

Centinaia di gigabyte possono essere esfiltrati e pubblicati nel dark web nel giro di pochi giorni, a volte addirittura minuti, usando credenziali compromesse e un accesso remoto non protetto”, racconta Zanatta. È il modello della doppia estorsione: se non paghi, i dati vengono diffusi o rivenduti. Un meccanismo che si inserisce in campagne internazionali, dove l’Italia rientra come parte integrante dello scenario UE.

Tra i gruppi ransomware più attivi contro MSP e telco nel 2025 figurano Akira, responsabile di oltre il 20% degli attacchi in entrambe le categorie, insieme a Qilin e Clop, capaci di adattare strumenti e tattiche a diversi settori. Emergono anche nuove sigle, segno di una scena criminale sempre più frammentata e competitiva, ma accomunata da una strategia chiara: colpire fornitori e operatori per amplificare l’impatto sistemico.

Malware, identità digitale e difesa comportamentale

Nel contesto europeo, il 66% dei malware bloccati appartiene alla categoria dei trojan, seguiti dalle backdoor al 19%. Sempre più spesso i link malevoli sostituiscono gli allegati come vettore primario di infezione, anticipando i picchi di malware. “Non possiamo più affidarci alle firme tradizionali – sottolinea Artioli –. Servono tecniche di rilevamento comportamentale e monitoraggio dell’identità digitale”. L’identità diventa così il nuovo campo di battaglia: oggi, sono elementi decisivi l’autenticazione, la gestione delle sessioni e il controllo delle anomalie.

acronis true image

Cyber resilienza e fattore umano

Parallelamente, cresce la consapevolezza che la sola cybersecurity non sia sufficiente senza una solida strategia di cyber resilienza. “È la cyber resilienza che permette di continuare a operare anche sotto attacco”, afferma Zanatta. Backup sicuri e immutabili, ripristino rapido e capacità di recovery in tempi brevi fanno la differenza tra un incidente gestibile e una crisi aziendale. A questo si aggiunge il fattore umano. “L’awareness rimane il punto uno – insiste –. Formazione costante, simulazioni di phishing, esercitazioni: il comportamento umano è ancora l’anello debole”.

AI difensiva e integrazione delle piattaforme

L’AI, che ha democratizzato l’accesso agli strumenti offensivi, impone ora una risposta speculare sul fronte difensivo. Diventano requisiti imprescindibili l’automazione nella risposta agli incidenti, l’integrazione tra data protection, cybersecurity e operation, la capacità di correlare segnali provenienti da email, endpoint e piattaforme cloud. “Gli attaccanti ragionano in modo integrato – conclude Artioli –. Anche la difesa deve fare lo stesso se vuole vincere questa sfida”.

I casi italiani più rilevanti del semestre

Entrando più nel dettaglio sugli attacchi del cybercrime registrati nel nostro Paese, nel secondo semestre 2025 l’Italia è stata colpita da diversi attacchi ransomware rilevanti, con un pattern ricorrente basato su esposizione RDP e abuso di credenziali valide. Nel caso STIM (settore manifatturiero) del 13 gennaio, l’attacco attribuito al gruppo INC Ransom ha comportato la sottrazione di 100 GB di dati sensibili. Nel caso Microdevice (settore tecnologico), il 21 ottobre scorso il gruppo Beast ha sfruttato RDP esposto e credenziali valide, con un impatto pari a 850 GB di dati esfiltrati e parzialmente pubblicati.

Il modello osservato in Italia è quello della double extortion, con pubblicazione dei dati in caso di mancato pagamento, e la presenza di gruppi RaaS internazionali attivi a livello UE. Tra gli altri grandi casi riportati nel Paese figurano SIAD (industriale), Mutti (agroalimentare) e Colacem (manifattura).

Campagne coordinate in Europa

Per quanto riguarda l’esposizione complessiva, l’Italia risulta costantemente sotto pressione, con un tasso intorno al 2,3% rispetto al numero di workload protetti con Active Protection, dato normalizzato sulla base della telemetria Acronis (come indicato nel confronto con il trend globale nel corso della presentazione).

Sul fronte malware e URL dannosi, l’Italia presenta picchi sincronizzati con altri Paesi europei come Germania e Francia, in un contesto in cui la Spagna risulta il Paese con l’esposizione più alta in Europa. Questo indica che l’Italia è coinvolta in campagne coordinate a livello regionale, con ondate di esposizione concentrate.

Picchi globali e riflessi sul contesto nazionale

Infine, i picchi mensili di attacchi osservati a livello globale, in particolare a febbraio (oltre 1.000 vittime) e a ottobre (840 casi), sono collegati a campagne del cybercrime su larga scala e sfruttamento massivo di vulnerabilità, dinamiche che, come evidenziato nei casi italiani, si riflettono anche nel contesto nazionale attraverso schemi ricorrenti di accesso via RDP e abuso di credenziali compromesse.

Related Posts: