Cyber, attacchi in crescita del 38% ma l’Italia regge: il rapporto ACN 2025

Gli eventi cyber in Italia sono cresciuti del 38% nel 2025, ma gli incidenti con impatto confermato sono aumentati solo del 7%. È il dato più significativo della Relazione annuale al Parlamento dell’Agenzia per la cybersicurezza nazionale, che fotografa un anno in cui il volume delle attività ostili è salito senza che questo si traducesse in modo proporzionale in danni reali ai sistemi colpiti.

Il CSIRT Italia ha trattato 2.729 eventi cibernetici, con una media di 227 al mese contro i 165 del 2024. Gli incidenti effettivi sono stati 615, circa 51 al mese. La forbice tra eventi e incidenti è attribuita dall’ACN all’attività di allertamento preventivo: nel 2025 sono state inviate 46.867 comunicazioni ai soggetti interessati, pubblicati 738 alert sul portale pubblico e 804 su quello riservato. Gli indicatori di compromissione condivisi sono passati da 125mila a oltre 800mila. Gli interventi diretti a supporto delle vittime sono saliti da 40 a 55.

DDoS, phishing e dati esposti

Gli attacchi DDoS hanno pesato in modo rilevante sul volume complessivo degli eventi, con picchi concentrati in quattro campagne rivendicate da gruppi hacktivisti nel contesto del conflitto russo-ucraino. La loro capacità di produrre danni reali è però diminuita: la quota di attacchi DDoS con impatti misurabili è scesa dal 15% del 2024 a meno dell’11%. In parallelo cresce il peso dell’esposizione di dati, spesso rilevata attraverso il monitoraggio delle piattaforme illecite di scambio: credenziali e informazioni compromesse costituiscono frequentemente il primo passo verso intrusioni, esfiltrazioni e ransomware.

Il phishing resta una minaccia trasversale, sempre più amplificata dall’intelligenza artificiale, che consente di generare messaggi altamente credibili e aumenta la probabilità di successo degli attacchi. L’analisi dei vettori conferma il peso decisivo del fattore umano: il 40% dei principali vettori rilevati riguarda l’email, il 24% l’uso di account validi, l’11% lo sfruttamento di vulnerabilità.

La Pubblica Amministrazione nel mirino

La PA resta tra i settori più esposti. Nel 2025 l’ACN ha rilevato 1.140 eventi riferibili a istituzioni pubbliche nazionali, dei quali 196 qualificati come incidenti. Il dato è in forte aumento rispetto ai 756 casi del 2024, anche per effetto delle campagne DDoS e della piena applicazione della legge n.90/2024, che ha esteso gli obblighi di notifica. La quota più rilevante ha riguardato l’Amministrazione dello Stato e gli organi costituzionali, seguiti da Comuni, Regioni e aziende sanitarie. Frequenti anche gli episodi che hanno coinvolto università, centri di ricerca ed enti pubblici.

Ransomware e minacce avanzate

Il ransomware è meno diffuso di altre minacce ma particolarmente critico per gli effetti: colpisce soprattutto le piccole imprese manifatturiere, spesso con livelli di protezione limitati, causando indisponibilità prolungate di dati e servizi. Gli attacchi sono abilitati in larga misura dall’uso di credenziali compromesse, vulnerabilità non sanate e servizi di accesso remoto esposti senza adeguata protezione.

Nel 2025 sono state rilevate anche attività riconducibili con buona probabilità ad attori APT. Le analisi hanno evidenziato similitudini con gruppi noti come APT29, Lazarus Group, Salt Typhoon e Mustang Panda, attivi nei settori governo, manifattura, sanità, telecomunicazioni, trasporti e aerospazio, attraverso vulnerabilità su applicativi esposti, spearphishing e in alcuni casi malware sofisticati creati appositamente per il bersaglio.

NIS2, AI e strategia nazionale

Il 2025 è stato un anno di svolta sul piano normativo. L’attuazione della disciplina NIS2 ha portato l’ACN a individuare una platea di oltre 21.800 soggetti NIS, molto più ampia rispetto al regime precedente. La legge sull’intelligenza artificiale ha inoltre attribuito all’Agenzia il ruolo di autorità di vigilanza del mercato, con funzioni di controllo e poteri sanzionatori sui sistemi AI che presentano rischi per la sicurezza collettiva e le infrastrutture digitali. A fine 2025 risultavano completate 60 delle 82 misure della Strategia nazionale di cybersicurezza. Per il triennio 2025-2027 sono stanziati 50,6 milioni per il Fondo per l’attuazione della Strategia e 7 milioni per la gestione della cybersicurezza.