Cyber: nel secondo semestre 2025 crescono gli eventi, calano gli incidenti

Nel secondo semestre del 2025 l’ecosistema digitale italiano ha vissuto un paradosso solo apparente: più segnali d’allarme, meno danni accertati. L’Agenzia per la Cybersicurezza Nazionale (ACN) rileva 1.253 eventi cyber, in crescita del 30% rispetto allo stesso periodo del 2024, mentre gli incidenti con impatto confermato scendono a 304, con un calo del 25%. Il dato suggerisce una pressione costante sulle infrastrutture, ma anche un salto di qualità nel modo in cui il sistema Paese intercetta, filtra e gestisce le minacce prima che diventino blocchi operativi, perdita di dati o fermo dei servizi.

Dietro l’aumento degli “eventi” pesa soprattutto il rafforzamento del monitoraggio del CSIRT Italia e l’effetto del nuovo perimetro normativo entrato in vigore nel 2024: più obblighi, più segnalazioni, più tracciabilità. A questo si aggiunge la crescita di alcune tipologie di attacco – in particolare i DDoS – che, pur generando un picco di traffico ostile, non necessariamente producono interruzioni prolungate quando le difese sono correttamente dimensionate.

Pubblica Amministrazione e telecomunicazioni nel mirino

I bersagli più ricorrenti restano la Pubblica Amministrazione, centrale e locale, e il settore delle Telecomunicazioni. Nel comparto pubblico il numero di segnalazioni è alimentato soprattutto da campagne DDoS: meno del 10% riesce a causare disservizi e, quando accade, si tratta in prevalenza di stop temporanei. L’altra faccia del rischio, più silenziosa, riguarda l’emersione di dati sensibili su piattaforme illegali di scambio: segnali che spesso indicano compromissioni a monte, credenziali sottratte o catene di accesso già contaminate.

Sul livello locale, ACN segnala un elemento particolarmente insidioso: la compromissione di fornitori di servizi web può produrre un effetto domino, coinvolgendo più amministrazioni in contemporanea. È uno scenario che sposta l’attenzione dalla singola rete comunale all’intera filiera dei servizi digitali, con una vulnerabilità che si propaga dove l’interdipendenza è più alta.

Ransomware stabile, phishing in accelerazione: la pressione sulle PMI

Gli attacchi ransomware restano sostanzialmente in linea con l’anno precedente: 54 casi nel secondo semestre 2025 contro 48 nel 2024. A pagare di più sono manifatturiero, vendita al dettaglio e settore tecnologico, con un impatto marcato sulle piccole e medie imprese, spesso meno attrezzate sul piano delle procedure, della segmentazione delle reti e delle capacità di risposta.

Più netto il trend del phishing: 927 URL malevoli segnalati, contro i 579 del 2024. Tra gli episodi più critici emerge una campagna diretta contro una struttura ospedaliera, colpita da oltre 3.000 e-mail fraudolente. L’obiettivo, in questi casi, è quasi sempre lo stesso: aprire una porta con un clic, agganciare credenziali valide, conquistare un accesso “legittimo” e muoversi senza alzare troppo il rumore.

Parallelamente crescono gli eventi di esposizione dati: 232 nel secondo semestre 2025. I picchi sono associati alla diffusione illecita di credenziali compromesse e a violazioni che toccano università, fornitori digitali e servizi finanziari, ambiti in cui la superficie d’attacco è ampia e il valore del dato resta elevato.

L’effetto prevenzione: più allerta, meno danni

Sul fronte difensivo, CSIRT Italia ha inviato 5.205 comunicazioni di allerta preventiva, mirate a segnalare vulnerabilità e criticità su piattaforme ampiamente diffuse. Il meccanismo è semplice solo in apparenza: la tempestività con cui si applicano le contromisure fa spesso la differenza tra un tentativo respinto e una compromissione con strascichi lunghi.

Le modalità d’ingresso più frequenti restano le e-mail malevole e l’uso di credenziali valide già compromesse. È il punto che rende l’alfabetizzazione interna, la gestione degli accessi e l’igiene delle password un tema operativo, non teorico: l’attaccante, quando può, preferisce entrare senza forzare la serratura.