L’Acn ha chiuso il mese di agosto 2025, registrando 136 eventi, in declino del -45% rispetto a luglio, mentre il numero di incidenti (41) è in diminuzione (–21) rispetto al mese precedente.
“Il rapporto evidenzia una riduzione importante degli eventi e degli incidenti cyber in Italia ad agosto 2025, ma il quadro internazionale mostra una realtà più sfumata”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
“Agosto è stata una tregua statistica, non un’inversione: gli eventi scendono a 136 e gli incidenti a 41, ma il rischio resta lì dove l’abbiamo lasciato”, aggiunge Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.
Indice degli argomenti
Acn, operational summary di agosto 2025
I settori in cui gli eventi cyber hanno mietuto più vittime nel mese di agosto sono stati telecomunicazioni, manifatturiero e servizi finanziari.
“Diverse aziende e CERT internazionali segnalano che, sebbene ci sia stata una diminuzione numerica degli incidenti rilevati rispetto a luglio, la qualità e la gravità degli attacchi sono aumentate“, mette in evidenza Paganini.
Fra i vettori di attacco, spopolano le e-mail, lo sfruttamento di vulnerabilità e l’utilizzo di account validi. Potenzialmente bersaglio dello sfruttamento delle vulnerabilità, nei mesi scorsi e ancora oggetto di campagne malevole, sono per esempio i soggetti con dispositivi Citrix Netscaler esposti.
Infatti “i vettori non cambiano (email, vulnerabilità sfruttate, account validi), mentre fuori dal perimetro italiano si muovono campagne state-sponsored e restano bersagli noti come NetScaler”, conferma Sandro Sana.
Si attestano a 3.733 nuove CVE, in calo rispetto a luglio (−204), ma i numeri non devono trarre in inganno.
“I dati del CSIRT sui vettori d’attacco (e-mail, vulnerabilità e account validi) sono in linea con le tendenze osservate a livello globale: il phishing cresce in sofisticazione, lo sfruttamento di CVE selettive (per esempio, CVE-2025-53770 su SharePoint) favorisce azioni rapide su target vulnerabili, e gli accessi compromessi restano un problema trasversale”, avverte Paganini.
Gli attacchi di agosto 2025
Secondo Paganini, “il breach su Bouygues Telecom (6,4 milioni di clienti), il massiccio attacco supply-chain a Salesforce (che ha colpito colossi come TransUnion e Google), e il data leak di documenti d’identità dagli hotel italiani confermano una forte pressione su telecomunicazioni, finanza e servizi”.
Poco dopo metà agosto, il CERT-AgID ha infatti lanciato l’allarme dei documenti di identità di ospiti di hotel italiani, in vendita in noti forum underground.
Un sito online di condivisione illecita di dati compromessi, infatti, ha pubblicato molti documenti d’identità in formato digitale, frutto del forto in seguito alla compromissione delle credenziali di accesso ai software usati dalle strutture alberghiere per identificare gli ospiti.
Le campagne cinesi, un campanello d’allarme: è l’ora della resilienza
Attori statali di matrice cinese (tra cui i gruppi: Salt Typhoon, Operator Panda, RedMike, UNC5807 e GhostEmperor) hanno condotto campagne di spionaggio.
“A livello europeo, Enisa ha confermato proprio ad agosto un’escalation di campagne statali, in particolare cinesi, che hanno inciso trasversalmente sulle infrastrutture critiche, aumentando l’attenzione su threat actor e APT noti”, conferma Paganini.
Gli attacchi cinesi lanciano un campanello s’allarme. Ora occorre potenziare la cyber resilienza.
Infine, secondo Paganini, “sul piano della comunicazione istituzionale, l’intenso dialogo proattivo tra CSIRT e stakeholder, 2.933 segnalazioni, dimostra che la resilienza richiede azioni tempestive e trasparenti, ma la crescente sofisticazione e scalabilità degli attacchi rende indispensabile rafforzare la prevenzione, soprattutto nelle filiere più esposte“.
“Mai abbassare la guardia, sebbene dinanzi a un’apparente riduzione degli attacchi, è lecito attendersi una sostenuta ripresa nei prossimi mesi”, conclude Paganini.
“Sul piano operativo il mese conta migliaia di comunicazioni tecniche e oltre tremila nuove CVE: il ciclo patch-exploit è ancora tirato. Tradotto per il CdA: rumore giù, esposizione invariata“, sottolinea Sana: “Servono decisioni su MFA davvero robusta, mappatura continua di ciò che è esposto e SLA di remediation ‘a velocità di business’. Settembre rialza i giri: chi non governa identità e patching continua a volare a vista”.
