L’Acronis Cyberthreats Report H2 2025 fotografa un secondo semestre segnato da un’accelerazione strutturale delle minacce informatiche. Il phishing domina ancora come vettore iniziale, il ransomware resta persistente e resiliente, mentre l’intelligenza artificiale entra in modo sistematico nei workflow criminali, non come esperimento ma come leva operativa.
I dati raccolti su oltre un milione di endpoint a livello globale mostrano un incremento del 16% degli attacchi e-mail per organizzazione e del 20% per utente su base annua. Nel solo secondo semestre 2025, gli attacchi via posta elettronica sono cresciuti del 36% rispetto ai primi sei mesi dell’anno, confermando l’e-mail come principale punto di accesso iniziale.
Acronis: phishing dominante e piattaforme collaborative sempre più nel mirino
Nel secondo semestre 2025 l’83% delle minacce veicolate via e-mail è riconducibile al phishing. Gli attacchi avanzati rappresentano appena l’1%, segno che la scala e l’efficacia dell’ingegneria sociale continuano a prevalere sulla sofisticazione tecnica pura.
Il quadro cambia sulle piattaforme di collaborazione. Qui il 31% delle minacce rientra nella categoria degli attacchi avanzati, una quota più di trenta volte superiore rispetto all’e-mail. Il malware pesa per il 54%, mentre il phishing si attesta al 15%, secondo il report di Acronis. Le collaboration app non sostituiscono la posta elettronica, ma diventano il livello secondario per impersonificazione, movimento laterale ed escalation dei privilegi in ambienti già compromessi.
Parallelamente cresce l’abuso di strumenti legittimi. PowerShell si conferma l’applicazione più sfruttata nelle tecniche living-off-the-land, mentre strumenti RMM come AnyDesk, ScreenConnect e Splashtop vengono utilizzati per persistenza, distribuzione dei payload e mascheramento dell’attività malevola come operazione amministrativa ordinaria.
Ransomware: ecosistema frammentato ma ad alta produttività
Nel 2025 sono state rese pubbliche 7.681 vittime di ransomware a livello globale, con picchi significativi a febbraio e ottobre. Il panorama raccontato da Acronis resta frammentato ma altamente produttivo: pochi programmi dominanti colpiscono una quota sproporzionata di organizzazioni, mentre decine di gruppi minori operano con campagne mirate.
Tra i gruppi più attivi figurano Qilin, Akira e Cl0p. Quasi 150 MSP e operatori telco risultano colpiti nel corso dell’anno, a conferma del ruolo dei provider come moltiplicatori di accesso nella supply chain digitale. Oltre 1.200 vittime sono collegate a compromissioni di terze parti tra gennaio e novembre 2025.
Nei rilevamenti interni prevale la famiglia Makop, seguita da BlackHeart e da un secondo livello di ransomware con attività persistente. I settori manifatturiero e tecnologico restano tra i più esposti, anche per la pressione operativa a ripristinare rapidamente la continuità dei sistemi IT e OT distribuiti.
Cybercrime potenziato dall’AI: più efficienza, stessa logica secondo Acronis
L’elemento di discontinuità dell’Acronis Cyberthreats Report H2 2025 è l’integrazione strutturale dell’intelligenza artificiale nei processi criminali. L’AI non introduce tecniche radicalmente nuove, ma accelera e scala quelle esistenti: ricognizione, estorsione dei dati, negoziazioni ransomware, frodi e campagne di social engineering.
Nel 2025 l’80% dei provider di ransomware-as-a-service pubblicizza funzionalità AI o di automazione. GLOBAL GROUP ha introdotto un chatbot basato su AI per gestire le negoziazioni con le vittime, riducendo l’intervento umano ai soli casi di alto valore. Il gruppo GTG-2002 ha utilizzato strumenti AI per generare script, raccogliere credenziali e analizzare dataset sottratti, personalizzando le richieste estorsive. In un caso attribuito con alta probabilità a un attore statale cinese, è stato osservato un comportamento agentico, con sequenze di ricognizione e utilizzo delle credenziali eseguite con intervento umano minimo.
Anche le truffe evolvono. Nei casi di virtual kidnapping sono state generate immagini e video alterati tramite AI come falsa “prova di vita”, aumentando la pressione psicologica sulle vittime.
MSP e vulnerabilità: il problema resta strutturale
Per i Managed Service Provider il rischio è amplificato. Il phishing rappresenta il vettore iniziale nel 52% dei compromessi MSP, mentre le vulnerabilità non patchate incidono per il 27% degli accessi iniziali. Nel 2025 sono state divulgate quasi 3.000 vulnerabilità critiche e tutte le CVE relative a piattaforme MSP sono state classificate come High o Critical.
Questo dato evidenzia una criticità sistemica: strumenti progettati per amministrare infrastrutture multi-tenant diventano un punto di leva privilegiato per campagne su larga scala.
Le indicazioni operative convergono su alcuni pilastri: backup immutabili integrati con telemetria di rilevamento, soluzioni XDR potenziate dall’AI, controlli di identità in ottica zero trust con MFA esteso, patch management automatizzato e governance specifica per l’utilizzo interno dell’intelligenza artificiale.
Le previsioni per il 2026: estorsione prima della cifratura
Guardando al 2026, l’Acronis Cyberthreats Report H2 2025 prevede tre direttrici principali. L’AI diventerà essa stessa superficie di attacco, con prompt injection e manipolazione dei workflow agentici. Il ransomware evolverà verso modelli “extortion-first”, in cui il furto dei dati e la pressione regolatoria supereranno la cifratura come leva primaria di monetizzazione. Supply chain e integrazioni SaaS, inclusi grant OAuth e connettori applicativi, resteranno target privilegiati.
Il quadro è chiaro: l’intelligenza artificiale non sostituisce gli attaccanti, ma ne aumenta l’efficienza e comprime i tempi di risposta delle difese. Per imprese e MSP, il margine di tolleranza si riduce. La differenza la farà la capacità di integrare visibilità, controllo identitario e automazione difensiva con la stessa velocità con cui il cybercrime sta industrializzando le proprie operazioni.
