Microsoft ha annunciato di aver smantellato l’infrastruttura di RedVDS, un servizio globale di cybercrime in abbonamento che ha alimentato campagne di phishing e frodi su larga scala, causando perdite economiche per milioni di dollari in tutto il mondo. L’operazione rappresenta uno degli interventi più articolati messi in campo dall’azienda contro il cybercrime organizzato e segna un cambio di passo nelle strategie di contrasto alle infrastrutture criminali “as a service”.

RedVDS operava come provider di virtual desktop destinati ad attività illecite, offrendo accesso a un ambiente pronto all’uso a partire da 24 dollari al mese. Un costo estremamente contenuto che ha abbassato la barriera di ingresso per gruppi criminali e singoli attaccanti, consentendo di avviare rapidamente campagne di phishing, frodi finanziarie e compromissione di account su scala globale.

Microsoft: un’operazione coordinata tra azioni legali e forze dell’ordine europee

L’azione di Microsoft si è sviluppata su più fronti. Da un lato, l’azienda ha avviato procedimenti civili negli Stati Uniti e, per la prima volta in questo tipo di operazioni, anche nel Regno Unito. Dall’altro, l’iniziativa è stata affiancata da interventi operativi delle forze dell’ordine europee, che hanno portato al sequestro fisico dei server utilizzati da RedVDS, localizzati in Germania e in altri Paesi europei.

Questo approccio combinato, che integra strumenti legali, intelligence tecnica e cooperazione internazionale, evidenzia una strategia sempre più orientata a colpire non solo gli attacchi finali, ma l’intera filiera del cybercrime, partendo dalle infrastrutture che ne rendono possibile la scalabilità.

Centinaia di migliaia di account colpiti a livello globale

Secondo i dati diffusi da Microsoft, RedVDS ha facilitato attacchi informatici che, a partire da settembre 2025, hanno preso di mira centinaia di migliaia di account Microsoft in tutto il mondo. L’infrastruttura forniva agli attaccanti ambienti virtuali difficili da tracciare e rapidamente riconfigurabili, rendendo complessa l’attribuzione delle attività criminali e aumentando l’efficacia delle campagne di frode.

Il modello “in abbonamento” ha inoltre favorito la continuità operativa degli attaccanti, che potevano sostituire rapidamente le risorse compromesse o sequestrate, mantenendo attive le operazioni anche in presenza di contromisure difensive.

L’impatto in Italia e i settori più colpiti

Anche l’Italia è stata coinvolta in modo significativo. Tra settembre 2025 e gennaio 2026, gli attacchi informatici facilitati da RedVDS hanno portato alla compromissione di circa 2.480 account email di clienti Microsoft nel nostro Paese. Nello stesso periodo, l’Italia si è posizionata al decimo posto a livello globale per numero di account Microsoft colpiti da attività riconducibili a questa infrastruttura criminale.

Dal punto di vista settoriale, il comparto dei beni di consumo è risultato il più esposto in termini di numero di account compromessi. Un dato che conferma come i cybercriminali continuino a privilegiare settori con elevati volumi di transazioni digitali e una forte dipendenza da servizi cloud e posta elettronica per le attività operative quotidiane.

Perché colpire l’infrastruttura cambia le regole del gioco

L’operazione contro RedVDS mette in evidenza un elemento chiave dell’evoluzione del cybercrime: la crescente industrializzazione delle attività criminali. Servizi come RedVDS non vendono semplicemente strumenti, ma forniscono piattaforme complete che permettono di scalare gli attacchi con logiche simili a quelle del cloud commerciale.

Interrompere queste infrastrutture significa aumentare i costi operativi per i criminali, rallentare le campagne in corso e ridurre l’accessibilità delle risorse necessarie per avviare nuove operazioni. Non si tratta di una soluzione definitiva, ma di un intervento strutturale che incide sull’economia del cybercrime, rendendolo meno efficiente e più rischioso.

Una strategia che punta alla collaborazione internazionale

Microsoft sottolinea come il successo dell’operazione sia legato alla collaborazione tra attori privati, autorità giudiziarie e forze dell’ordine di diversi Paesi. Il coinvolgimento diretto delle autorità europee e l’estensione delle azioni legali anche al Regno Unito rappresentano un precedente rilevante per future iniziative di contrasto.

In un contesto in cui le infrastrutture criminali sono distribuite e transnazionali, la capacità di coordinare interventi legali e tecnici su più giurisdizioni diventa un fattore determinante per l’efficacia delle azioni di difesa.

Oltre RedVDS: cosa aspettarsi nei prossimi mesi

Lo smantellamento di RedVDS non elimina il fenomeno del cybercrime “as a service”, ma segnala una crescente attenzione verso i fornitori di infrastrutture criminali, considerati ormai un anello critico della catena. Per le aziende e le organizzazioni, il messaggio è duplice: da un lato, l’importanza di rafforzare le misure di sicurezza sugli account e sui servizi cloud; dall’altro, la consapevolezza che il contrasto al cybercrime richiede interventi sistemici, che vadano oltre la semplice mitigazione degli attacchi.

L’operazione annunciata da Microsoft si inserisce in questa logica e rappresenta un caso emblematico di come la difesa digitale stia evolvendo da una risposta reattiva a una strategia offensiva mirata alle fondamenta operative del cybercrime globale.