Nel secondo semestre del 2025 l’Italia ha registrato un’intensificazione dell’attività cyber, accompagnata però da una riduzione degli incidenti con impatto confermato. È quanto emerge dall’ultimo Operational Summary dell’Agenzia per la Cybersicurezza Nazionale (ACN), che fotografa un quadro più complesso di quanto suggerisca il solo aumento numerico degli eventi.

Nel periodo luglio-dicembre 2025, l’ACN ha censito complessivamente 1.253 eventi cyber, con una crescita del 30% rispetto allo stesso semestre del 2024. Di contro, gli incidenti effettivamente confermati sono stati 304, in calo del 25% su base annua. Secondo l’Agenzia, l’apparente paradosso si spiega con «il rafforzamento delle attività di monitoraggio del CSIRT Italia» e con l’entrata in vigore del nuovo quadro normativo del 2024, che ha ampliato la capacità di intercettare eventi anche a basso impatto.

Guardando al solo mese di dicembre 2025, «sono stati registrati 158 eventi cyber, in diminuzione del 13% rispetto ai 182 di novembre», scrive l’ACN. Nello stesso periodo, «il numero di incidenti, pari a 45, è sceso del 24% rispetto al mese precedente». Un miglioramento che ha interessato anche la Pubblica Amministrazione, sia centrale sia territoriale, dove i livelli di esposizione risultano inferiori rispetto a novembre e al semestre precedente.

Sul piano settoriale, nel mese di riferimento le telecomunicazioni, il comparto tecnologico e la vendita al dettaglio si sono confermati come gli ambiti con il maggior numero di vittime di eventi cyber. Parallelamente, è proseguita la contrazione dell’attività riconducibile alla matrice hacktivista, che a dicembre ha rappresentato circa il 10% degli eventi monitorati, contro il 31% rilevato a novembre.

Per quanto riguarda i vettori di attacco, l’analisi dell’ACN indica come principali modalità l’utilizzo di account validi, le e-mail e lo sfruttamento di vulnerabilità note. A dicembre il CSIRT Italia ha effettuato 2.986 comunicazioni dirette verso amministrazioni e imprese per segnalare potenziali compromissioni o fattori di rischio, in sensibile aumento rispetto al mese precedente.

Sul fronte delle vulnerabilità, nel solo mese di dicembre 2025 sono state pubblicate 5.635 nuove CVE, in crescita di 2.520 unità rispetto a novembre. Di queste, 755 presentano almeno un Proof of Concept, mentre per 14 vulnerabilità è stato rilevato uno sfruttamento attivo, anch’esso in aumento su base mensile.

In ambito ransomware, l’ACN segnala che a dicembre nessun attacco ha colpito soggetti critici. L’8% degli attacchi ha interessato obiettivi a media criticità, mentre il 92% ha coinvolto soggetti con livelli di protezione più bassi. Una dinamica che conferma la tendenza degli attori ransomware a colpire organizzazioni meno strutturate. Attraverso il monitoraggio delle fonti aperte, nel mese sono state individuate 19 rivendicazioni di attacchi ransomware ai danni di soggetti italiani.

Nel complesso del secondo semestre 2025, gli attacchi ransomware si sono mantenuti su livelli simili all’anno precedente, con 54 casi contro i 48 del 2024. La minaccia resta dunque elevata, soprattutto per la Pubblica Amministrazione e per il settore delle telecomunicazioni, ma l’Agenzia sottolinea come l’aumento degli eventi non si traduca automaticamente in maggiori interruzioni operative, anche grazie a «una maggiore strutturazione delle misure difensive rispetto al passato».