Il 2025 segna un punto di svolta per la sicurezza informatica in Italia. Secondo il Threat Landscape 2025 di Tinexta Cyber, nel corso dell’anno sono stati registrati 116.498 attacchi informatici, con una media di 2.249 a settimana e una frequenza di uno ogni cinque minuti. Un dato che colloca il Paese sopra la media globale, con un’esposizione superiore del 17%, e che riflette una trasformazione strutturale del panorama delle minacce, sempre più influenzato da dinamiche geopolitiche, supply chain digitali fragili e dall’uso offensivo dell’intelligenza artificiale.
Attacchi informatici: un panorama globale dominato dalla monetizzazione del dato
A livello mondiale, il cybercrime continua a essere guidato da logiche economiche. Oltre l’80% delle intrusioni osservate nel 2025 è orientato alla monetizzazione del dato, attraverso ransomware, infostealer e trojan bancari. Ogni giorno vengono individuate tra le 450.000 e le 560.000 nuove varianti di malware, portando il totale dei campioni conosciuti a superare 1,2 miliardi. In parallelo, resta elevata l’attività di attori nation-state, in particolare riconducibili a Russia, Cina e Corea del Nord, impegnati in operazioni di spionaggio, sabotaggio digitale e influenza geopolitica.
Italia tra i bersagli preferiti: DDoS e hacktivismo in primo piano
Nel contesto italiano emerge una peculiarità rilevante: la tecnica di attacco dominante è il Distributed Denial of Service. Il peso dei DDoS è nettamente superiore rispetto allo scenario globale ed è direttamente collegato alla crescita dell’hacktivismo, che utilizza il cyberspazio come strumento di pressione politica e simbolica. Gruppi come NoName057(16) hanno colpito in modo sistematico siti e servizi pubblici, rendendo l’Italia un terreno privilegiato per campagne dimostrative legate a tensioni internazionali. Parallelamente, le tecniche malware risultano leggermente in calo, a indicare una preferenza degli attaccanti per vettori più rapidi e meno costosi in termini operativi.
Pubblica Amministrazione sotto pressione costante da parte degli attacchi informatici
La Pubblica Amministrazione si conferma uno dei bersagli principali. Nel primo semestre del 2025 gli attacchi informatici contro enti pubblici, strutture governative e infrastrutture critiche sono cresciuti ulteriormente, proseguendo una tendenza già evidente nel biennio precedente. L’aumento dell’hacktivismo e la “militarizzazione” del cyberspazio rendono il settore pubblico un obiettivo strategico, sia per l’impatto simbolico sia per le ricadute operative sui servizi essenziali. Un elemento di criticità è rappresentato dall’incremento degli incidenti non divulgati, che limita la possibilità di analisi pubblica e potrebbe indicare una maggiore sensibilità istituzionale o la presenza di minacce più avanzate.
Data breach e supply chain: un legame sempre più stretto
Il 2025 è stato anche l’anno dei grandi data breach. Le violazioni su larga scala hanno colpito provider cloud, piattaforme enterprise e fornitori tecnologici strategici, con effetti a cascata su interi ecosistemi. I casi analizzati nel report evidenziano come la compromissione di un singolo nodo della supply chain digitale possa amplificarsi rapidamente, coinvolgendo decine o centinaia di organizzazioni. In questo contesto, cresce il mercato delle credenziali rubate: le credenziali compromesse e rivendute sui circuiti illegali sono aumentate di oltre il 40%, alimentando l’attività degli Initial Access Broker, intermediari specializzati nella vendita di accessi pronti all’uso verso reti aziendali.
Ransomware e infostealer: minacce mature e persistenti
Nonostante il leggero spostamento dei vettori di accesso iniziale, il ransomware resta la minaccia simbolo ad alto impatto. In Italia gli attacchi ransomware sono cresciuti del 48% rispetto al periodo precedente, con richieste di riscatto sempre più elevate e modelli di doppia estorsione ormai consolidati. Accanto ai ransomware, gli infostealer svolgono un ruolo centrale nella filiera criminale, consentendo l’esfiltrazione massiva di credenziali, cookie di sessione e token di autenticazione. Famiglie come Rhadamanthys, Lumma e Remcos si confermano tra le più resilienti, spesso distribuite attraverso campagne strutturate come ClickFix o tramite canali ad alta affidabilità percepita, inclusa la Posta Elettronica Certificata.
ClickFix e l’evoluzione del social engineering
Tra le tecniche più diffuse nel panorama italiano spicca ClickFix, un framework che combina compromissione di siti web e social engineering avanzato. Attraverso falsi CAPTCHA, notifiche di sistema e istruzioni guidate, l’utente viene indotto a eseguire manualmente comandi malevoli, riducendo l’efficacia dei controlli automatici. Circa il 60% degli accessi iniziali attribuiti a ClickFix avviene tramite interazioni web e non via e-mail, spostando il baricentro della difesa dal perimetro della posta elettronica al monitoraggio della navigazione e del traffico applicativo.
L’intelligenza artificiale entra nella fase offensiva
Il 2025 segna l’emergere dei primi casi documentati di malware basati su intelligenza artificiale. Modelli generativi vengono utilizzati per creare phishing altamente personalizzati, automatizzare la ricerca di vulnerabilità e generare codice malevolo adattivo. Nel report viene descritto il primo ransomware completamente generato da un modello di AI, capace di adattare il proprio comportamento all’ambiente della vittima, e l’evoluzione degli infostealer che integrano Large Language Model per modificare dinamicamente le tecniche evasive. Questa tendenza introduce un livello di complessità inedito, riducendo i tempi tra disclosure e sfruttamento e mettendo sotto pressione i modelli difensivi tradizionali.
Vulnerabilità, cloud e nuove superfici di attacco
Nel corso dell’anno sono state divulgate oltre 21.000 vulnerabilità, con una quota di High e Critical prossima al 40%. La finestra di weaponization si è ulteriormente ridotta: in molti casi exploit funzionanti sono comparsi entro poche ore dalla disclosure. Le vulnerabilità su gateway perimetrali, firewall, piattaforme di virtualizzazione, browser e sistemi ERP hanno rappresentato un vettore chiave per attacchi informatici alla supply chain e compromissioni su larga scala, imponendo alle organizzazioni una revisione delle strategie di patch management e di gestione delle superfici esposte.
Cybersecurity come fattore strategico per il sistema Paese
Il quadro delineato dal Threat Landscape 2025 conferma che la cybersecurity non è più una scelta tecnologica, ma una componente strutturale della continuità operativa, della fiducia e della stabilità economica. Per l’Italia, caratterizzata da un tessuto produttivo diffuso e da una crescente digitalizzazione dei servizi pubblici, la resilienza digitale diventa un fattore competitivo e sistemico. In questo scenario, i nuovi quadri normativi europei, come NIS2, DORA e AI Act, assumono un ruolo centrale non come meri adempimenti, ma come strumenti per rafforzare la capacità del Paese di affrontare minacce sempre più rapide, automatizzate e interconnesse.
