Scopri anche

• Vulnerabilità critiche e ransomware: analisi delle minacce informatiche più pericolose
• Le vulnerabilità critiche nella storia della cybersecurity: da EternalBlue alle minacce moderne
• NVIDIA cerca architetti per data center orbitali: il calcolo nello spazio diventa realtà
• Vivaldi 7.2: evoluzione della barra degli indirizzi e percorso verso il rilascio stabile
• Patch Tuesday 2026: Microsoft e 60 fornitori correggono vulnerabilità zero-day attivamente sfruttate
• Acronis True Image 2026 e Cyberthreats Report: minacce AI-driven in crescita nel panorama cybersecurity
• Licenziamenti e automazione: cosa dicono i CEO delle Big Tech sul futuro del lavoro
• L'IA come arma a doppio taglio: l'evoluzione delle minacce cyber e le nuove strategie difensive
• Nvidia: dati finanziari, crescita del data center e prospettive del mercato AI
• ChatGPT: dalle nuove offerte Pro ai rischi per i dati fiscali
• Certificazione NATO per iPhone e le minacce digitali: sicurezza e attacchi
• Google Gemini: l'integrazione nei servizi Workspace e la nuova Personal Intelligence
• LLM e diritto: limiti strutturali, rischi per la professione legale e necessità di supervisione umana
• Google registra 90 vulnerabilità zero-day nel 2025: i fornitori di spyware commerciale superano gli attori statali
• Vulnerabilità software e cybersecurity: come proteggersi dagli attacchi informatici
• Vulnerabilità critiche in Google Gemini: dai bug di Chrome agli attacchi sponsorizzati da stati
• Ransomware 2025-2026: il firewall diventa il punto di ingresso nel 90% degli attacchi
• App Android bloccate, vulnerabilità e obsolescenza: guida completa a sicurezza e stabilità
• Intelligenza artificiale e cybersecurity: il doppio fronte tra attacchi e difese
• OpenAI lancia Codex Security: l'agente AI per la rilevazione delle vulnerabilità software

Cybersecurity in Italia 2025: attacchi ogni 5 minuti, l'AI diventa arma a doppio taglio

Cybersecurity in Italia 2025: attacchi ogni 5 minuti, l'AI diventa arma a doppio taglio

Il panorama delle minacce informatiche in Italia ha raggiunto una soglia di intensità senza precedenti. Nel 2025 sono stati registrati 116.498 attacchi, pari a 2.249 alla settimana, uno ogni cinque minuti. Una frequenza superiore del 17% rispetto alla media globale. I dati emergono dal Threat Landscape 2025 di Tinexta Cyber e dal report "State of Cybersecurity Recap 2025" commissionato da Aused e realizzato da Certego, che ha analizzato 1,2 milioni di asset digitali appartenenti a 200 imprese italiane.

La spesa delle aziende in cyber security sfiora ora i 3 miliardi di euro, ma oltre un'azienda su tre è stata colpita da attacchi. Gli allarmi di sicurezza sono cresciuti del 7% e gli incidenti effettivamente gestiti del 13% rispetto all'anno precedente. Il rischio informatico non è più episodico ma continuo, diffuso e sistemico: colpisce le piccole e medie imprese con la stessa intensità delle grandi organizzazioni, registrando un identico +13% di incidenti.

I settori strategici nel mirino

⬆ Torna su

Dei 16.861 incidenti gestiti nel 2025, oltre un terzo — 5.904 casi — riguarda il mondo manifatturiero e industriale. Le fabbriche sempre più connesse, con macchine che comunicano con i software e produzioni che dipendono da sistemi digitali, rappresentano il nuovo fronte ad alto impatto per i criminali informatici. Seguono la finanza e le assicurazioni con 4.450 incidenti, circa il 26% del totale: dati sensibili, transazioni e identità digitali con alto valore sul mercato nero.

Il settore moda e design registra 1.424 incidenti, chimica e farmaceutica 1.085, energia 1.001, industria alimentare 952. Anche sanità, enti locali e grande distribuzione presentano numeri contenuti ma rilevanti. Nel complesso, il 67% degli incidenti colpisce il settore privato, il restante 33% quello pubblico.

Le tipologie di attacco: malware, phishing e vulnerabilità

⬆ Torna su

Il malware resta il protagonista assoluto, responsabile del 32% degli attacchi. Seguono il phishing e il social engineering al 22%, lo sfruttamento delle vulnerabilità al 21% e la compromissione delle credenziali al 18%. Una catena industriale del cybercrimine che automatizza, specializza e replica su scala globale.

La Cina si conferma il primo paese per origine degli attacchi informatici osservati nel 2025, seguita da Stati Uniti, Russia, India e diversi Paesi europei. Non una guerra tra confini, ma una rete globale che sfrutta infrastrutture compromesse ovunque nel mondo.

Hacktivismo e ransomware: i gruppi attivi sul territorio italiano

⬆ Torna su

Il report di Check Point evidenzia come il cyber threat landscape italiano sia stato fortemente influenzato da campagne di attacco DDoS condotte da gruppi hacktivisti legati a dinamiche geopolitiche, spesso in risposta a decisioni politiche o eventi internazionali. Tra gli attori più attivi emerge NoName057(16), gruppo filo-russo noto per campagne di disruption contro portali governativi, infrastrutture di trasporto e istituzioni finanziarie europee. Il gruppo utilizza modelli di reclutamento "gamificati", strumenti automatizzati e infrastrutture distribuite per coordinare migliaia di sostenitori.

Nel 2025 l'Operazione Eastwood, coordinata da Europol ed Eurojust, ha portato allo smantellamento di parte dell'infrastruttura del gruppo e all'identificazione di numerosi affiliati. Parallelamente, le operazioni ransomware sono evolute verso modelli sempre più strutturati e scalabili, basati su piattaforme ransomware-as-a-service e campagne di estorsione multipla. Tra i gruppi più rilevanti figurano LockBit e Cl0p, responsabili di attacchi su larga scala che hanno colpito aziende, organizzazioni pubbliche e infrastrutture critiche in tutta Europa.

Un esempio citato nel report è lo sfruttamento della vulnerabilità CVE-2025-61882 in Oracle E-Business Suite, utilizzata per attacchi di massa e campagne di esfiltrazione dati su scala industriale. Aumenta anche l'incidenza degli attacchi alla supply chain digitale: nel settore hospitality italiano, la compromissione di piattaforme di prenotazione di terze parti ha portato alla diffusione nel dark web di dati sensibili e documenti di identità di migliaia di utenti.

L'intelligenza artificiale come vettore di minaccia

⬆ Torna su

Il rapporto tra AI e cybersecurity ha attraversato una soglia critica. Secondo il report di Check Point, gli attaccanti utilizzano modelli linguistici e strumenti automatizzati per raffinare le tecniche di phishing, automatizzare la ricognizione sui bersagli e accelerare lo sviluppo di exploit. Questo scenario abbassa la barriera di ingresso per i cybercriminali e aumenta la velocità con cui le campagne di attacco possono essere lanciate e scalate.

Lo State of Cloud Security Report 2025 di Palo Alto Networks rileva che il 99% delle organizzazioni ha subito almeno un attacco mirato a modelli, servizi o applicazioni basati su AI e residenti in cloud. Il 75% delle imprese ha almeno un sistema di AI in produzione. Il volume giornaliero di cyberattacchi è passato da 2,3 milioni a quasi 9 milioni nel giro di un anno, grazie all'uso di strumenti di AI da parte degli attaccanti.

Il tempo medio necessario per compromettere un ambiente ed esfiltrare dati si è ridotto drasticamente: violazioni che nel 2021 richiedevano in media 44 giorni possono oggi concludersi in 25 minuti. Il 99% delle organizzazioni usa strumenti di AI generativa per il coding, creando flussi di codice che i team di sicurezza faticano a controllare e che introducono nuovi vettori di attacco.

Il caso GTG-1002: il primo attacco autonomo orchestrato da AI

⬆ Torna su

Con l'operazione GTG-1002, emersa a settembre 2025, una rete AI agentica ha orchestrato in autonomia una campagna di spionaggio informatico su vasta scala. Il report di Anthropic descrive un'operazione gestita per l'80-90% da Claude Code, utilizzato da un gruppo di hacker affiliati al governo cinese per colpire circa 30 organizzazioni nel mondo, tra istituzioni finanziarie, industrie chimiche, enti governativi e grandi aziende tecnologiche.

L'AI ha agito non come semplice assistente ma come esecutore quasi completo dell'intera catena d'attacco: ricognizione dei sistemi, produzione di exploit, raccolta di credenziali, creazione di backdoor ed esfiltrazione dei dati. Una minaccia che gli esperti si aspettavano tra 12 e 18 mesi ma che è già realtà. Google aveva già segnalato dinamiche simili in attacchi russi contro obiettivi ucraini.

Il report di Anthropic ha tuttavia sollevato critiche da parte di diversi ricercatori. L'attacco attribuito al gruppo GTG-1002 avrebbe avuto successo limitato e le tecniche usate includerebbero strumenti open source ben noti e facilmente rilevabili. Claude avrebbe generato credenziali inesistenti e classificato come sensibili informazioni pubbliche, segno che l'affidabilità dell'automazione completa è ancora distante. Kevin Beaumont, esperto della comunità internazionale, ha denunciato un crescente livello di disinformazione attorno all'AI, sostenendo che molte narrative diffuse in queste settimane siano prive di basi concrete.

Cloud e API: la nuova superficie di attacco

⬆ Torna su

Il 60% delle organizzazioni ravvisa problemi nella frammentazione degli ambienti cloud: infrastrutture ibride, SaaS specializzati e flussi di sincronizzazione dei dati poco governati sono anse in cui gli attaccanti si nascondono con facilità. Le aziende gestiscono in media sei cloud provider diversi, combinando IaaS, PaaS, SaaS, container, VM e serverless. Il 53% delle organizzazioni rilascia nuovo codice almeno una volta a settimana, un 17% arriva a cicli giornalieri o più frequenti.

Gli attacchi alle API sono cresciuti del 41% anno su anno. L'adozione di agentic AI e di interfacce per orchestrare servizi, plugin e strumenti di terze parti amplia enormemente la superficie esposta, spesso con endpoint creati e pubblicati a grande velocità. Il 63% del campione ammette che l'abuso delle funzionalità di sync o export dei SaaS è il principale vettore di esfiltrazione, seguito dalla condivisione esterna troppo permissiva (59%) e dalle credenziali o token compromessi (58%).

L'identità si conferma l'anello più debole: il 53% degli intervistati denuncia policy IAM troppo permissive e granularità insufficiente dei permessi. L'82% delle imprese necessita di oltre sette giorni per distribuire una patch: una lotta impari a favore degli attaccanti, che finalizzano gli attacchi in minuti contro difensori che misurano la remediation in settimane.

Le prospettive per il 2026

⬆ Torna su

Secondo l'analisi di Check Point, nel 2026 l'Italia continuerà a essere esposta a un mix di minacce provenienti da hacktivisti, cybercrime organizzato e attori sponsorizzati da Stati. Gli attacchi potrebbero intensificarsi in corrispondenza di eventi geopolitici e momenti di forte visibilità internazionale, come le Olimpiadi Invernali Milano-Cortina.

Per affrontare questo scenario, Check Point sottolinea l'adozione di un approccio di Exposure Management, che consenta alle organizzazioni di identificare e ridurre le esposizioni critiche prima che possano essere sfruttate. L'approccio integra threat intelligence, visibilità della superficie di attacco e remediation automatizzata per aiutare i team di sicurezza a prioritizzare i rischi reali.

Il report Aused/Certego suggerisce che nel 2026 l'automazione basata su AI non sarà più un vantaggio competitivo ma una condizione di sopravvivenza. Senza, i volumi di eventi renderanno impossibile una gestione manuale. Come ha ricordato Jen Easterly, ex direttrice CISA, l'era degli attacchi automatizzati è iniziata. La sfida è costruire difese altrettanto intelligenti, resilienti e veloci.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La convergenza tra automazione offensiva e frammentazione infrastrutturale suggerisce un rischio crescente di vulnerabilità sistemica. La riduzione del tempo di compromissione da 44 giorni a 25 minuti restringe significativamente la finestra di reazione per i team di sicurezza.

• Scenario 1: Gli attacchi orchestrati da agenti autonomi potrebbero diventare più diffusi, nonostante le riserve sull'efficacia dimostrata dal caso GTG-1002.
• Scenario 2: Le piccole e medie imprese, colpite con la stessa intensità delle grandi organizzazioni, potrebbero sperimentare crescenti difficoltà nel gestire la complessità difensiva.
• Scenario 3: L'aumento degli attacchi alle API e la frammentazione cloud potrebbero ampliare la superficie esposta, specialmente in settori ad alta interconnessione come il manifatturiero.

Cosa monitorare

⬆ Torna su

• L'evoluzione dei modelli ransomware-as-a-service dopo le operazioni di law enforcement come Eastwood.
• Il bilanciamento tra l'adozione di strumenti di coding basati su intelligenza artificiale e i rischi di nuovi vettori di attacco.
• L'impatto delle compromissioni della supply chain digitale sui settori strategici identificati.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://www.datamanager.it/2026/03/il-panorama-delle-minacce-informatiche-in-italia-tra-hacktivismo-ransomware-e-attacchi-ai-driven/
• https://www.cybersecurity360.it/news/cyber-attacchi-colpita-unazienda-su-tre-il-rischio-di-eccessi-burocratici-come-semplificare/
• https://www.corriere.it/economia/innovazione/26_febbraio_23/cyberattacchi-in-italia-nel-2025-incidenti-in-aumento-del-13-fabbriche-e-banche-nel-mirino-l-ai-arma-a-doppio-taglio-df173437-c1a7-4619-8beb-888aa7ca7xlk.shtml
• https://www.zerounoweb.it/techtarget/searchsecurity/cybersecurity-in-italia-un-attacco-ogni-5-minuti/
• https://www.securityopenlab.it/news/5726/cloud-e-ai-il-baricentro-della-cybersecurity-attuale.html
• https://www.agendadigitale.eu/sicurezza/lai-diventa-hacker-il-primo-attacco-autonomo-scuote-la-cybersecurity/
• https://www.cybersecitalia.it/lera-degli-attacchi-informatici-automatizzati-e-iniziata-o-e-solo-una-psicosi-ai/54727/