Negli ultimi anni l’aumento delle minacce cibernetiche ha assunto proporzioni particolarmente allarmanti, divenendo una delle principali preoccupazioni che ha coinvolto in prima persona governi, imprese e individui a livello globale. Questo fenomeno è stato alimentato dall’evoluzione tecnologica che, se da un lato ha offerto innumerevoli benefici in termini di comunicazione, efficienza e accesso alle informazioni, dall’altro ha esposto le infrastrutture digitali a rischi di cybersecurity senza precedenti.
IL TREND DEGLI ATTACCHI CIBERNETICI IN ITALIA
In questo contesto, si collocano le preziose rilevazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) contenute nella Relazione annuale presentata al Parlamento nonché nei report mensili (Operational Summary) che sono curati dal Servizio Operazioni e gestione delle crisi cyber. I dati di riferimento derivano dall’intensa attività del Computer Security Incident Response Team (CSIRT Italia), che riceve le notifiche obbligatorie e volontarie previste dalla normativa di riferimento in caso di incidenti cibernetici, occupandosi di confrontare ed esaminare le informazioni derivanti da fonti aperte, chiuse, commerciali o da altre strutture omologhe nazionali e internazionali.
Nello specifico sono stati riscontrati 1.979 eventi cyber nel 2024 e 573 incidenti ad impatto confermato, un totale quasi raddoppiato rispetto al 2023, in cui se ne contavano “solo” 303. Appare innanzitutto importante analizzare la distribuzione temporale degli eventi e incidenti di cybersecurity durante il 2024. Rispetto al totale di 1.979 eventi, lo CSIRT ne ha rilevati una media di 165 al mese, in netta crescita rispetto ai 118 dell’anno precedente. In merito agli incidenti, dei complessivi 573 classificati in tale categoria, si evince una media di circa 48 al mese, quasi il doppio rispetto a quanto rilevato nel 2023 (25).
L’ACN ha pubblicato di recente il report “Operational Summary” aggiornato a maggio 2025, che raccoglie i dati e gli indicatori mensili sull’analisi e l’andamento della minaccia cibernetica, concentrandosi sui principali settori merceologici impattati e le tipologie di minacce più frequenti a livello nazionale ed europeo, tra cui malware, DDoS e ransomware. In particolare, si rileva che durante lo scorso mese di febbraio è stato raggiunto un nuovo picco pari a 302 eventi di cybersecurity. In generale, la media dei primi cinque mesi dell’anno in corso è di 223 eventi e 47 incidenti, notevolmente più elevata rispetto ai valori rilevati nello stesso periodo del 2024 (rispettivamente, 141 e 22). Come è possibile osservare dal grafico riportato di seguito, vengono prospettate anche le future quote inerenti i periodi di giugno, luglio e agosto, che dovrebbero portare a una nuova crescita dei casi dopo un lieve calo registrato nel mese di aprile.
*Dati previsionali
I SETTORI IMPATTATI
Tra i settori di attività dei soggetti target, un ruolo di spicco nel 2024 lo hanno avuto le Pubbliche amministrazioni centrali (483 eventi), seguite a lunghissima distanza dalle telecomunicazioni (290 eventi). Per interpretare correttamente il dato, è importante sottolineare che ciascun evento può essere associato a uno o più settori di attività e che non sono stati considerati gli eventi rilevati a seguito di monitoraggio proattivo per non creare sbilanciamenti verso quei comparti più interessati da tale attività. Inoltre, è interessante notare come settori che avevano registrato numeri trascurabili nel corso del 2023 abbiano visto incrementare vertiginosamente il numero di eventi di cybersecurity lo scorso anno. In particolare, quelli cresciuti maggiormente sono stati università e ricerca (+186 eventi), che si posiziona al terzo posto della top 10, e manifatturiero (+131).
Se si sposta l’attenzione all’anno in corso, secondo gli ultimi dati di ACN (maggio 2025), i servizi finanziari risultano i più interessati da eventi che hanno impattato sulla cybersecurity delle organizzazioni colpite (63), registrando un aumento pari al 191% rispetto al semestre precedente, il quale è anche il valore più alto nel periodo considerato. Seguono le telecomunicazioni con 31 eventi registrati, le quali tuttavia fanno segnare un decremento su base semestrale dell’11%, a differenza della vendita al dettaglio (28 eventi) per il quale si evidenzia un peggioramento del 100%.
LE TIPOLOGIE DI EVENTI DI CYBERSECURITY
Con riferimento alla tipologia di eventi cyber, risulta evidente come tra i primi dieci un ruolo di spicco nel 2024 spetti agli attacchi Distributed Denial of Service (DDoS), che mirano a compromettere la disponibilità di un sistema mediante esaurimento delle sue risorse di rete, elaborazione o memoria. Specificatamente, l’anno scorso se ne sono registrati 519, un numero elevato a cui seguono i casi di diffusione di information disclosure (244) e di brand abuse (223).
Una delle minacce più subdole è rappresentata dagli attacchi ransomware che hanno destato importanti preoccupazioni sia al settore pubblico che a quello privato, potendo contare ben 198 eventi (33 in più rispetto al 2023).
Volgendo uno sguardo all’ultimo mese disponibile (maggio 2025), la top 10 cambia in maniera importante per taluni aspetti: in questo caso, il primo posto è occupato da eventi di misconfiguration (40), che segnano un preoccupante peggioramento rispetto al semestre precedente del 290%. Al secondo posto, invece, si evidenziano eventi relativi all’esposizione dei dati della vittima, che hanno interessato 37 casi, in aumento del 33%. Seguono, come visto per il 2024, il brand abuse (32, +13%) e l’onnipresente phishing (29, -3%).
LA MINACCIA RANSOMWARE
Il ransomware si sostanzia in un’operazione con cui l’attaccante, di regola, si introduce nei sistemi di un’organizzazione per cifrarne i dati, al fine di ottenere il pagamento di un riscatto necessario a rendere le informazioni nuovamente disponibili al legittimo proprietario e/o a non diffonderle pubblicamente. Nel corso del 2024, a differenza di quanto si è potuto ravvisare nell’anno precedente, il numero di eventi cyber riscontrati dall’Agenzia è stato abbastanza uniforme, con un unico picco particolare nel mese di novembre, in cui sono segnalati 24 eventi.
Per quanto attiene alla dimensione aziendale, dei soggetti privati colpiti, circa il 25% degli eventi ransomware ha interessato grandi imprese (+2% sul 2023), mentre nel 75% dei casi sono state coinvolte piccole (48%) e medie imprese (27%). Tra i settori target, parimenti a quanto ravvisato nel 2023 il manifatturiero è stato il più bersagliato (46), insieme alla vendita al dettaglio (28), al tecnologico (26) e al sanitario (10).
CONCLUSIONI
In definitiva, va considerato che l’uso delle nuove tecnologie, come i sistemi di intelligenza artificiale e il machine learning, ha reso le operazioni cibernetiche più mirate e difficili da rilevare, per cui risulta sempre più importante adottare un approccio integrato alla cybersecurity che includa un quadro normativo coerente ed efficace, l’implementazione di soluzioni tecnologiche avanzate, la formazione continua del personale e la collaborazione tra enti pubblici e privati. In quest’ottica, il lavoro di ascolto attento e proattivo che l’ACN sta portando avanti, tra l’altro, sulla disciplina NIS2 – che si rivolge a oltre 20 mila organizzazioni solo in Italia – rappresenta certamente un elemento imprescindibile per rafforzare la postura di cybersicurezza nazionale.
