Leggere i numeri dell’ACN, riportati nella Relazione annuale 2025 al Parlamento, richiede un approccio analitico, non emotivo. A prima vista, un aumento del 38% degli eventi cyber nel 2025 rispetto all’anno precedente potrebbe sembrare un campanello d’allarme catastrofico.
Ma è proprio qui che la Relazione annuale al Parlamento dell’Agenzia per la Cybersicurezza Nazionale offre uno spunto di riflessione più sofisticato: gli incidenti con impatto confermato, cioè gli attacchi che hanno effettivamente prodotto danni, sono cresciuti solo del 7%.
Indice degli argomenti
Il paradosso della sicurezza italiana: più attacchi, meno danni
Questo disallineamento non è un caso né un artefatto statistico. È il risultato diretto di un sistema di difesa che sta funzionando meglio: il CSIRT Italia ha intercettato, allertato e mitigato una quota crescente di attività ostili prima che si trasformassero in compromissioni reali.
In termini operativi, questo significa che per ogni evento rilevato, la probabilità di subire un incidente effettivo è diminuita.
Tuttavia, sarebbe un errore grave interpretare questo dato come una ragione per abbassare la guardia. Il volume assoluto delle minacce è aumentato in modo significativo, la superficie d’attacco si è ampliata (anche per effetto dell’obbligo di notifica introdotto dalla legge n. 90/2024 e dall’implementazione della NIS2) e le tecniche degli attaccanti si evolvono rapidamente, in alcuni casi con l’ausilio dell’intelligenza artificiale generativa.
I numeri del CSIRT Italia: una constituency in espansione
Nel 2025, il CSIRT Italia ha gestito 2.729 eventi cyber, con una media di 227 al mese (erano 165 nel 2024) e un picco di 434 eventi a giugno, riconducibile a una campagna DDoS massiva a firma hacktivista. Di questi eventi, 615 sono stati classificati come incidenti con impatto confermato, per una media di 51 al mese.
Le vittime univoche, ovvero i soggetti che hanno subito almeno un evento cyber gestito dal CSIRT, sono aumentate di oltre il 50%, arrivando a 1.901. Il numero complessivo delle vittime (con possibili reiterazioni dello stesso soggetto) è stato di 3.907, a conferma che alcuni settori e organizzazioni vengono colpiti sistematicamente e ripetutamente.
Sul fronte del monitoraggio proattivo, i numeri sono ancora più significativi:
- 31.050 dispositivi e servizi a rischio segnalati ai soggetti;
- 10.312 dispositivi potenzialmente compromessi identificati;
- 2.457 siti di phishing rilevati e comunicati alle vittime;
- 800.000+ indicatori di compromissione (IoC) condivisi (erano 125.000 nel 2024);
- 126 attori ransomware monitorati;
- 191 attori hacktivisti monitorati.
Quest’ultimo dato – la moltiplicazione degli IoC condivisi per oltre sei volte rispetto all’anno precedente – merita attenzione. Indica un salto qualitativo e quantitativo nelle capacità di threat intelligence dell’Agenzia, nonché un’intensificazione dell’infosharing internazionale attraverso le reti CSIRT europee e i canali G7.
I vettori di attacco: vince ancora l’umano
Uno degli aspetti più rilevanti sul piano operativo riguarda la distribuzione dei vettori di accesso iniziale. I dati del 2025 confermano un dato che la comunità della sicurezza conosce bene ma che le organizzazioni continuano a sottovalutare: il 64% degli incidenti si origina da e-mail (40%) o da account validi compromessi (24%).
Solo l’11% degli incidenti sfrutta vulnerabilità tecniche note. Il resto è una combinazione di ingegneria sociale, credenziali rubate (ottenute tramite phishing, data breach o brute forcing), servizi remoti esposti in modo non sicuro, attacchi alla supply chain e abuso di funzionalità legittime.
Questo quadro ha implicazioni pratiche immediate per qualsiasi organizzazione. Investire esclusivamente in aggiornamenti di sistema e patch management – pur necessari – non è sufficiente se non si presidiano contemporaneamente la gestione delle identità e degli accessi, la formazione del personale e il monitoraggio delle credenziali compromesse.
L’ACN segnala esplicitamente come le campagne di phishing e spear phishing stiano diventando sempre più sofisticate e credibili grazie all’impiego di strumenti di intelligenza artificiale generativa. Messaggi grammaticalmente perfetti, contestualmente pertinenti, personalizzati sul target: il livello di difficoltà nel riconoscerli a occhio nudo è aumentato in modo significativo.
Un’analisi, questa sui vettori d’attacco,che dovrebbe spingere le aziende a rivedere immediatamente le policy sull’autenticazione a più fattori (MFA), assicurandosi che sia abilitata su tutti i servizi esposti in rete, a cominciare da e-mail, VPN, portali cloud e strumenti di collaboration.
L’MFA non è una misura avanzata: nel 2025, è il requisito minimo accettabile.
Le minacce prevalenti: DDoS in testa, ransomware più selettivo
La relazione annuale al Parlamento di ACN è focalizzata anche sull’analisi delle tecniche di attacco e delle minacce prevalenti utilizzate.
DDoS: molti eventi, pochi danni reali
Con 964 eventi su 2.729 totali, il DDoS è la tipologia di minaccia quantitativamente più diffusa. Quattro distinte campagne di attacco massivo hanno prodotto i picchi mensili di febbraio, giugno, settembre e ottobre, con il coinvolgimento prevalente di gruppi hacktivisti filorussi operativi nel contesto del conflitto russo-ucraino.
La PA centrale e locale è stata il bersaglio più colpito: 396 eventi di DDoS solo contro amministrazioni pubbliche locali, 170 contro quelle centrali. Tuttavia, la percentuale di attacchi DDoS che ha prodotto impatti misurabili è scesa da circa il 15% del 2024 a meno dell’11% nel 2025.
Le capacità di mitigazione sono migliorate, sia sul fronte delle infrastrutture sia sul piano della risposta coordinata tra CSIRT Italia e i soggetti colpiti.
Esposizione dati e phishing: il binomio più pericoloso
L’esposizione non autorizzata di dati (442 eventi) e il phishing (363 eventi) si confermano come le minacce più insidiose, perché spesso fungono da abilitatori per attacchi di secondo livello. L’ACN ha monitorato sistematicamente le principali piattaforme di scambio illecito di dati nel dark web, intervenendo tempestivamente per disattivare le credenziali compromesse prima che potessero essere sfruttate dagli attaccanti.
Un aspetto critico: molti eventi di esposizione dati non vengono rilevati dall’organizzazione colpita, ma dall’attività di monitoraggio proattivo del CSIRT. Questo significa che esiste un’asimmetria informativa rilevante tra ciò che le aziende credono di sapere sulla propria esposizione e ciò che effettivamente circola nel cybercrime underground.
Ransomware: bassa frequenza, alto impatto
Il ransomware rappresenta 197 eventi e 103 incidenti, posizionandosi al decimo posto per frequenza ma tra i primi per impatto effettivo. Il profilo tipico della vittima è emerso con chiarezza: si tratta prevalentemente di piccole imprese del settore manifatturiero, caratterizzate da livelli di cyber sicurezza limitati, con servizi di accesso remoto esposti, vulnerabilità non patchate e gestione insufficiente delle credenziali.
Solo il 3% delle vittime di ransomware è rappresentato da soggetti critici con obbligo di notifica. Questo dato non deve indurre a false rassicurazioni: indica semmai che il ransomware è diventato uno strumento pervasivo anche nelle PMI, dove l’impatto economico può essere proporzionalmente devastante pur non raggiungendo la soglia della notorizia mediatica.
Alla luce di questi dati, le PMI, spesso prive di un team di sicurezza dedicato, dovrebbero prioritariamente affrontare tre azioni:
- adottare soluzioni EDR (Endpoint Detection and Response) anche in configurazioni managed;
- verificare la robustezza e la frequenza dei backup, garantendo che copie offline siano disponibili e regolarmente testate;
- effettuare un audit degli accessi remoti, disabilitando RDP esposto su Internet e sostituendolo con VPN con autenticazione forte.
APT: attori strutturati e campagne di spionaggio
Nel 2025, il CSIRT Italia ha rilevato attività attribuibili con buona probabilità ad attori APT (Advanced Persistent Threat), con similitudini tecniche rispetto a campagne pubblicamente associate a gruppi noti come APT29, Lazarus Group, Salt Typhoon, Mustang Panda, LightBasin, Storm-0558 (Antique Typhoon), UNC5221 e UNC1549.
I settori colpiti includono il governativo (centrale e locale), il manifatturiero, la sanità, le telecomunicazioni, i trasporti, l’istruzione e l’aerospazio. Le tecniche prevalenti comprendono lo sfruttamento di vulnerabilità su applicativi esposti pubblicamente, spear phishing avanzato, brute forcing di credenziali e utilizzo di malware non documentati pubblicamente, talvolta creati ad hoc per il target specifico.
Un elemento tecnico particolarmente rilevante è la tendenza degli attori APT a sfruttare infrastrutture legittime (servizi di archiviazione cloud, piattaforme di code sharing, reti di anonimizzazione condivise) per mascherare le proprie attività e rendere più difficile l’attribuzione. L’uso di strumenti legittimi per scopi malevoli (tecnica nota come “living off the land”) riduce drasticamente la capacità di rilevamento basata su signature tradizionali.
Le organizzazioni che operano in settori sensibili o che trattano dati di interesse strategico dovrebbero, quindi, adottare un approccio di threat intelligence continua, abbonandosi a feed specifici per il proprio settore e implementando soluzioni di behavioral analytics in grado di identificare anomalie anche in presenza di traffico apparentemente legittimo.
La Pubblica Amministrazione nel mirino
Nel 2025, l’ACN ha rilevato 1.140 eventi cyber riferibili a istituzioni pubbliche, con 196 incidenti qualificati (circa il 17% del totale). Il dato è in forte crescita rispetto ai 756 eventi del 2024, con le campagne DDoS e l’ampliamento del perimetro di notifica come principali fattori.
La distribuzione per tipologia di ente mostra una concentrazione sulle Amministrazioni dello Stato e sugli Organi costituzionali (25%), sui Comuni (18%) e sulle Regioni (11%). I Comuni, in particolare, presentano una superficie di esposizione molto ampia: numerosi asset IT, forti dipendenze digitali con i cittadini e risorse di sicurezza spesso limitate.
Accanto al DDoS, le minacce più rilevanti per la PA sono phishing, brand abuse e scansioni attive su credenziali, tutte tecniche di preparazione che precedono attacchi più strutturati. La compromissione di caselle di posta elettronica istituzionale rappresenta un vettore di accesso particolarmente critico, poiché consente agli attaccanti di muoversi lateralmente e acquisire informazioni riservate con facilità.
Il quadro normativo: NIS2, AI Act e nuovi obblighi di compliance
Il 2025 è stato un anno di intensa attività normativa. Sul fronte della NIS2 (D.lgs. n. 138/2024), sono stati registrati oltre 21.800 soggetti (una platea enormemente ampliata rispetto alla precedente disciplina) distribuiti tra settori essenziali (energia, trasporti, banche, infrastrutture digitali, sanità, acqua, spazio) e settori importanti (fornitura alimentare, manifatturiero, servizi digitali, ricerca).
L’implementazione procede per fasi: entro aprile 2026 dovranno essere completati i primi adempimenti di base in materia di misure di sicurezza, mentre la supervisione e le attività ispettive si intensificheranno progressivamente fino al 2027.
Sul fronte dell’intelligenza artificiale, con la legge n. 132/2025, l’ACN è stata designata Autorità di vigilanza del mercato sull’AI, con poteri di controllo e sanzione sui sistemi di IA che presentano rischi per la sicurezza nazionale e la resilienza delle infrastrutture digitali. Un riconoscimento esplicito del fatto che i sistemi di IA sono essi stessi esposti ad attacchi cyber sofisticati.
Il Cyber Resilience Act (CRA) europeo introduce requisiti di cybersicurezza per tutti i prodotti con elementi digitali: l’ACN è designata sia come Autorità di notifica sia come Autorità di vigilanza del mercato. Il Cyber Solidarity Act (CSoA) crea invece meccanismi europei di risposta coordinata agli incidenti. Questi due regolamenti, insieme all’evoluzione della NIS2, ridisegnano l’intero ecosistema degli obblighi di compliance.
Le organizzazioni che non si sono ancora iscritte alla piattaforma NIS dell’ACN, o che non hanno avviato una gap analysis rispetto alle misure di sicurezza di base richieste dal decreto NIS, sono in ritardo. La scadenza di aprile 2026 per le notifiche di base è più vicina di quanto sembri. L’ACN ha attivato un service desk dedicato e ha pubblicato guide operative scaricabili liberamente: non c’è scusa per non iniziare.
La supply chain: il vettore sottovalutato
Un’area che merita attenzione specifica è quella della sicurezza degli approvvigionamenti. Il 2025 ha visto l’adozione di due DPCM (30 aprile e 2 ottobre) che definiscono gli elementi essenziali di cybersicurezza per i prodotti e servizi informatici impiegati in contesti sensibili, estendendo ora anche alle reti 4G e 5G l’obbligo di verifica della supply chain tecnologica.
L’ACN ha inoltre pubblicato linee guida per l’applicazione di criteri di “premialità” nelle gare d’appalto, favorendo tecnologie di provenienza da Paesi “trusted” (UE, NATO, Australia, Corea del Sud, Giappone, Israele, Nuova Zelanda, Svizzera) e rendendo disponibile un tool automatizzato per l’analisi del Bill of Materials (BOM) delle soluzioni ICT.
Infrastruttura offensiva e difensiva: Megaride e le vulnerabilità zero-day
Il 2025 ha visto anche un salto nelle capacità infrastrutturali dell’Agenzia. A giugno è stata inaugurata Megaride, l’infrastruttura di High Performance Computing sviluppata con Cineca nell’ambito del progetto IT4LIA AI Factory, parte del programma europeo EuroHPC.
Una piattaforma che non è solo strumento di calcolo, ma anche infrastruttura a supporto della ricerca sulla sicurezza e della protezione nazionale.
Sul piano dello scrutinio tecnologico, le attività di testing per il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) nel 2025 hanno consentito l’individuazione di decine di vulnerabilità zero-day nei prodotti analizzati, prima del loro impiego in contesti critici. Un risultato di notevole rilievo, che dimostra la maturità operativa dei laboratori accreditati e la validità dell’approccio preventivo al testing.
Cosa deve fare un’azienda adesso: cinque priorità concrete
A valle di questa analisi, è possibile sintetizzare cinque azioni prioritarie che ogni organizzazione (grande, media o piccola) dovrebbe intraprendere o consolidare sulla base delle evidenze della Relazione annuale ACN 2025.
- Presidio delle identità e degli accessi. Con il 64% degli incidenti originati da e-mail e account compromessi, la gestione delle identità è la priorità assoluta. MFA ovunque, rotazione regolare delle password privilegiate, monitoraggio continuo delle credenziali esposte su breach database.
- Riduzione della superficie esposta. Oltre 31.000 dispositivi italiani esposti a rischio identificati proattivamente dall’ACN. Effettuare una ricognizione periodica degli asset esposti su Internet, con strumenti di attack surface management, è ormai imprescindibile.
- Gestione strutturata delle vulnerabilità. Non solo patch management reattivo, ma un processo continuo di identificazione, prioritizzazione e remediation, con particolare attenzione a dispositivi di rete, firewall, VPN e tecnologie di lavoro remoto che aggregano la maggior parte delle vulnerabilità segnalate.
- Compliance NIS2 come framework di sicurezza. I soggetti NIS devono trattare gli obblighi della Direttiva non come un adempimento burocratico, ma come un framework operativo per innalzare concretamente la postura di sicurezza. Le scadenze si avvicinano e le attività di supervisione si intensificheranno.
- Piano di risposta agli incidenti testato. Il numero di interventi DFIR del CSIRT Italia è passato da 40 a 55 in un anno: significa che sempre più organizzazioni si trovano impreparate davanti a un incidente complesso. Avere un piano di incident response scritto, condiviso e testato, anche con esercitazioni tabletop, è la differenza tra settimane di recovery e giorni.
La resilienza si costruisce prima, non durante
La Relazione annuale ACN 2025 non è un documento da leggere e archiviare. È una fotografia dello stato del rischio cibernetico nel Paese, con dati granulari sui vettori di attacco, i settori più colpiti, le tecniche degli attori ostili e le misure che hanno dimostrato efficacia. Per chi si occupa di sicurezza, ignorarla sarebbe un errore professionale.
Il messaggio di fondo è chiaro: il gap tra eventi rilevati e incidenti reali si amplia quando i sistemi di allertamento funzionano e le organizzazioni sono pronte a rispondere. Si restringe o si inverte quando le difese sono fragili, le credenziali non gestite, le vulnerabilità non patchate e i backup non testati.
La cyber sicurezza non è un prodotto da acquistare, ma una capacità da costruire, mantenere e dimostrare. E nel 2025, l’Italia ha dimostrato di poterlo fare. Ora tocca alle organizzazioni fare la propria parte.
