l’approfondimento

Cyber security: com’è cambiata e cosa aspettarsi per il futuro, con uno sguardo all’AI

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti

In soli dieci anni, dal 2015 al 2025, la cyber security ha subito una profonda trasformazione guidata dall’evoluzione tecnologica e dalla maturazione del crimine informatico e in cui, negli ultimi tempi, sta giocando un ruolo di primo piano l’intelligenza artificiale

Pubblicato il 22 dic 2025

Michelangelo Stillante

Network and security administrator

Cyber security: com’è cambiata e cosa aspettarsi per il futuro, con uno sguardo all’AI

Esiste una profonda differenza tra il parlare di sicurezza informatica nel 2015 e farlo oggi e non si tratta solo di una questione di moda, ma di una trasformazione fondamentale guidata dall’evoluzione tecnologica e dalla maturazione del crimine informatico che spesso ne guida l’evoluzione (dello sviluppo tecnologico).

Mentre nel 2015 il focus verteva sulla “sicurezza informatica” (IT Security), intesa come la protezione perimetrale e interna aziendale, dati su PC, server e l’uso delle VPN, oggi si parla in modo più esteso di “cyber security”, intendendo un concetto che abbraccia, in aggiunta ai vecchi paradigmi, anche di Internet of Things (IoT – casa smart), sistemi di Tecnologia Operativa (OT) come quelli industriali per le auto a guida intelligente o i sistemi di servizi strategici quali strutture finanziarie, forniture di acqua, elettricità e gas, e, soprattutto, l’intero ecosistema digitale “worldwide” distribuito (cloud, mobile, supply chain).

L’evoluzione della minaccia informatica ci insegna come combatterla

Indice degli argomenti

Cyber security: le principali differenze dal 2015 al 2025

Dal 2015 è avvenuto un cambiamento di paradigma che potremmo riassumere in quattro punti chiave:

Espansione della superficie di attacco:
2015: il perimetro era (più o meno) definito (uffici, data center locali).
Oggi: l’adozione massiccia di cloud computing, smart working e IoT/5G ha, di fatto, eliminato il perimetro rendendo ogni dispositivo e utente un potenziale punto di ingresso/attacco.
Professionalizzazione del cybercrime:
2015: attacchi principalmente basati su malware generici e phishing di base.
Oggi: l’aumento degli attacchi Ransomware as a Service (RaaS), gli attacchi alla Supply Chain e l’uso dell’Intelligenza Artificiale (AI) da parte dei criminali hanno reso il cybercrime un vero e proprio modello di business organizzato e molto più sofisticato (Cyberwarfare/State-Sponsored Attacks).
Governance e normativa (compliance):
2015: normative frammentate e spesso volontarie.
Oggi: l’introduzione del GDPR (2018) in Europa ha reso la protezione dei dati un obbligo legale con sanzioni pesanti. A livello di infrastrutture, direttive come la NIS (2016) e NIS2 (2024) hanno imposto standard di sicurezza elevati per settori critici. La compliance è diventata un fattore trainante della spesa in cybersecurity (ci ritorneremo).
L’ascesa dell’AI e del modello Zero Trust:
2015: i sistemi di difesa erano reattivi, basati su firme conosciute.
Oggi: la necessità di difese proattive e dinamiche ha portato all’adozione del paradigma Zero Trust (non fidarsi mai, verificare sempre) e all’integrazione dell’Intelligenza Artificiale e del Machine Learning (ML) per rilevare anomalie e rispondere agli incidenti in tempo reale (o quasi).

Volendo ricapitolare brevemente e necessariamente in maniera sommaria le tappe importanti dell’evoluzione dal 2015 ad oggi, si potrebbe osservare che:

Anno	Evento/Trend Tecnologico	Impatto Chiave
2015	L’era RaaS (Ransomware as a Service)	I ransomware diventano più accessibili e commercializzati. Inizio dell’interesse per l’AI nella difesa. Inizia la consapevolezza del rischio economico e reputazionale. Le PMI restano vulnerabili. Espansione delle minacce State-Sponsored. Focus su antivirus, firewall, e protezione endpoint. La cybersecurity è vista come un costo, non un investimento strategico
2016	Direttiva NIS	Primo quadro legislativo europeo comune sulla sicurezza informatica. Obblighi per Operatori di Servizi Essenziali (OSE). L’anno dell’esplosione dei Ransomware (CryptoLocker) su larga scala.
2017	Attacchi “WannaCry” e “NotPetya”	Dimostrazione dell’impatto globale e devastante di attacchi rapidi e su larga scala. La cybersecurity entra nel dibattito pubblico. Cresce sensibilmente l’attenzione su backup, patching e resilienza. WannaCry e NotPetya: attacchi globali che dimostrano l’impatto distruttivo su sanità e logistica.
2018	Entrata in Vigore del GDPR	La protezione dei dati personali diventa un obbligo legale stringente in Europa, spostando il focus dalla semplice IT Security alla Data Protection e alla compliance. La protezione dei dati diventa obbligo legale. Nasce il concetto di “privacy by design” e “security by design”. Aumento della consapevolezza Privacy post-GDPR. Consolidamento del cybercrime e dei data breach su larga scala.
2019	Adozione Massiccia del Cloud Security Posture Management (CSPM) Strategia nazionale per la sicurezza cibernetica	Le aziende riconoscono che il cloud non è sicuro “di default” e iniziano a investire in strumenti specifici per gestire la sicurezza in ambienti multicloud. Il termine “cyber sicurezza” prende piede: Si parla di difesa delle infrastrutture critiche e intelligence.
2020	Pandemia e smart working: anno dello smart working forzato	La pandemia accelera l’adozione su vasta scala del lavoro da remoto, eliminando il perimetro e spingendo verso l’adozione accelerata di VPN e, successivamente, di architetture Zero Trust. Boom di attacchi su VPN, cloud e dispositivi personali. La sicurezza diventa parte della trasformazione digitale. Attacchi mirati agli ospedali (Target Sanità in forte crescita).
2021	Attacchi alla Supply Chain Nascita dell’Agenzia per la Cybersicurezza Nazionale (ACN)	Si è compreso che attaccare un anello debole della catena di fornitura software permette di compromettere migliaia di clienti. Aumento dell’attenzione verso la Software Bill of Materials (SBOM*). L’Italia istituzionalizza la cyber sicurezza come funzione strategica dello Stato. Attacchi enormi alla Supply Chain (es. Kaseya, Colonial Pipeline) che aumentano la paura di attacchi a cascata.
2022	Adozione e Formalizzazione dello Zero Trust Direttiva NIS2 e regolamenti UE	La Zero Trust Architecture (ZTA) diventa il modello di sicurezza dominante per la difesa in assenza di un perimetro fisico definito: le aziende devono dimostrare capacità di prevenzione, risposta e recovery. Inizio della guerra in Ucraina. Aumento dell’Hacktivism e dell’Information Warfare; l’Italia diventa un bersaglio più rilevante
2023	L’Ascesa dell’AI Generativa (es. ChatGPT – Gemini) Crescita attacchi supply chain e AI-driven	L’AI Generativa inizia a essere usata sia per potenziare gli strumenti di difesa sia per creare attacchi di phishing più convincenti e codice malevolo più rapido. La sicurezza si estende a fornitori, algoritmi e ambienti distribuiti.
2024	NIS2 e AI Act Spesa supera i 2 miliardi €	Entrata in vigore della Direttiva NIS2 in Italia e preparazione per l’AI Act. Inizio della pianificazione per la migrazione a crittografia resistente ai futuri computer quantistici. La cybersecurity è integrata nei piani ESG e nella governance aziendale. Le minacce sono più focalizzate sulle infrastrutture critiche.
2025	Cybersecurity come leva competitiva	Si parla di “cyber resilienza”, “zero trust”, e “quantum-safe security”. L’AI è definitivamente sia minaccia che risorsa. Uso di Deepfake per frodi finanziarie e l’intensificazione degli attacchi geopolitici.

* Il termine SBOM identifica un inventario formale e completo di tutti i componenti software (incluse le librerie open source e di terze parti) presenti in un prodotto.

Sintetizzando la tabella:

Terminologia: da “sicurezza informatica” difensiva a “cyber sicurezza” strategica, multidimensionale.
Approccio: da reattivo a proattivo, con focus su prevenzione, intelligence e resilienza.
Ruolo: da funzione IT ad asset strategico per Stato, imprese e cittadini.

Il cambiamento nella percezione degli utenti

Cambiando l’ambiente, la tecnologia e l’impatto, anche la percezione degli utenti è radicalmente cambiata. Il cambiamento si è trasformato da una preoccupazione circoscritta e inerente PC/azienda, ad un senso di rischio pervasivo, personale e totale, che permea ogni aspetto della vita digitale, con impatto totale visto che oggi molto (direi tutto) si basa su tecnologia digitale.

Tutto ciò generando una costante ansia dell’esistenza online (Ansia Digitale), spesso legata a conseguenze finanziarie e reputazionali.

La percezione si è evoluta in tre macroaree:

Da problema IT a rischio personale e finanziario
2015: L’utente medio vedeva la sicurezza come l’installazione di un antivirus sul PC fisso. La preoccupazione principale era “beccare un virus” o perdere i dati sul disco rigido. Il rischio era principalmente tecnico.
Oggi: L’utente percepisce il rischio come legato direttamente al denaro e all’identità. L’attenzione si è spostata su frodi e furto di credenziali per servizi essenziali (home banking, e-mail) e la compromissione della vita personale tramite social media. Il rischio è finanziario, reputazionale e psicologico.
Consapevolezza e “fattore umano”
2015: La comprensione degli attacchi era bassa. La responsabilità era spesso delegata al software di sicurezza o all’IT aziendale.
Oggi: Nonostante ci sia ancora molta strada da fare, l’utente è più consapevole, ma non ancora abbastanza, del proprio ruolo come “anello debole” della catena. Termini come Phishing, Ransomware e Social Engineering sono entrati nel linguaggio comune. Questa maggiore consapevolezza, tuttavia, contribuisce anche all’aumento dell’Ansia Digitale e mantiene il fattore umano come principale “anello debole della catena”.
La scomparsa del “perimetro”
2015: La minaccia arrivava principalmente tramite e-mail o chiavetta USB sul computer di casa o di lavoro.
Oggi con l’esplosione del Smart Working, dei dispositivi IoT (telecamere, assistenti vocali) e l’uso dello smartphone per ogni transazione, l’utente è costantemente connesso a reti potenzialmente non sicure. La minaccia è percepita come proveniente da ogni dispositivo e in ogni momento.

Paura Principale	Focus 2015	Focus Oggi (2025)	Tendenza di Cambiamento
Furto di Identità	Furto di dati di accesso semplici (utenza e pwd)	Furto di identità digitale completa (perpetrare frodi finanziarie, richiedere prestiti, clonare carte).	Aumento Esponenziale
Frodi	Truffe via e-mail palesemente false.	Attacchi di Vishing/Smishing e truffe di Phishing Iper-realistiche (Deepfake vocali e visuali, messaggi che imitano banche o enti pubblici con estrema precisione).	Qualità dell’Inganno aumentata spinta dall’AI generativa.
Perdita di Dati	Cancellazione accidentale o distruzione di file a causa di un malware generico.	Ransomware su larga scala. Perdita di accesso a intere biblioteche digitali personali (Cloud) o criptaggio di dati senza possibilità di recupero.	La posta in gioco è il riscatto come nei sequestri
Privacy e Sorveglianza	Preoccupazione generica per i siti che tracciano la navigazione.	Paura della sorveglianza mirata sui dispositivi (telecamere IoT, microfoni) e il sospetto che grandi piattaforme tech usino i dati personali per manipolazione. (Spinta dal GDPR e da casi come Cambridge Analytica).	Forte aumento della preoccupazione etica.

Molto “in sintesi” e concentrandosi sulle paure chiave e le loro differenze per categoria, possiamo schematizzare nel seguente modo una paura strettamente correlata all’incidenza e gravità degli attacchi (analizzeremo più avanti i vari tipi di attacchi).

La tendenza più significativa è il passaggio da minacce generiche (virus) a minacce con impatto finanziario diretto (ransomware e frodi).

Paura	2015	2025	Evoluzione Chiave
Ransomware/Sequestro Dati	Bassa (attacchi mirati)	Molto Alta (tassi di incidenza in forte aumento)	Trasformazione del Ransomware in un modello di business (RaaS)
Phishing/Frodi Online	Media (e-mail visibilmente sospette)	Altissima (aumento volumetrico e di sofisticazione dall’avvento dell’AI generativa)	L’uso dell’AI generativa per creare truffe iperrealistiche (testo, voce, immagini) ha reso l’errore umano più probabile.
Furto di Identità	Media (basato violazione di database)	Alta (paura di frodi bancarie e finanziarie)	Aumento della paura a causa della diffusione dei dati personali (data breach) e l’uso fraudolento dell’identità
Violazione della Privacy/Sorveglianza	Bassa (percezione vaga)	Media/Alta (preoccupazione concreta e spinta dal GDPR)	Maggiore consapevolezza del valore dei dati, innescata dalle normative come il GDPR (2018) e dai grandi scandali (es. Cambridge Analytica).

La paura non è solo una questione di frequenza di attacchi, ma di tipo di rischio percepito e livello di fiducia nelle proprie capacità.

Mentre nel 2015 i giovani erano quelli con maggiore sensibilità del rischio e paure perché gli adulti non si consideravano a rischio essendo non “del mestiere”, oggi la percezione ed esposizione al rischio può essere riassunta come segue:

Fascia d’Età	Percezione del Rischio	Paure Specifiche Dominanti
Giovani (18-29 anni)	Bassa/Media – Sono nativi digitali, si sentono più competenti, ma sono ugualmente esposti al rischio.	Furto di identità su Social Media, cyberbullismo, truffe su piattaforme di gioco/e-commerce.
Adulti (30-59 anni)	Alta – Gestiscono finanze, lavoro e famiglia, aumentando la superficie d’attacco e l’impatto potenziale.	Frodi Bancarie, Ransomware sul lavoro/azienda, Phishing/BEC (Business E-mail Compromise)
Anziani (60+ anni)	Bassa/Media – Spesso percepiscono il rischio come basso perché “non sono esperti” o “non hanno nulla da nascondere”, ma sono estremamente vulnerabili.	Vishing (truffe vocali), Smishing (truffe via SMS), Frodi sentimentali, ingegneria sociale (es. finto nipote/banca).

Il rischio è diventato un problema di continuità operativa coinvolgendo tutti i settori merceologici, chi piu’ chi meno. Spostandosi dal singolo PC al blocco totale dell’infrastruttura, possiamo riassumere a grandi linee:

Settore Professionale	Rischio Incidente (2015)	Paura Dominante (2025)
Sanità	Basso/Medio (violazione di cartelle cliniche)	Altissimo – Blocco dei servizi critici (Ransomware che blocca macchinari o accessi ai pazienti). Il settore ha visto un aumento di attacchi specialmente dopo la pandemia
PMI/Manifatturiero	Basso/Medio (furto di brevetti/dati)	Altissimo – Rischio di chiusura aziendale a seguito di un Ransomware. Le PMI sono considerate un “bersaglio facile” e subiscono una quota sproporzionata degli attacchi.
Finanziario/Assicurativo	Alto (attacchi DDoS, furto di massa)	Critico – Rischio di frode mirata sui clienti e attacchi alla Supply Chain per violare software finanziari.
Pubblica Amministrazione	Medio	Alto/Critico – Rischio di sabotaggio di servizi essenziali e di violazione di dati sensibili dei cittadini (compliance GDPR).

La percezione varia, inoltre, in base agli investimenti in sicurezza e al contesto geopolitico:

Continente/Area	Rilevanza nel Contesto Cybercrime (2025)	Percezione del Rischio/Paura
Nord America (USA/Canada)	Molto Alta – Principale bersaglio di attacchi cybercriminali e State-Sponsored.	Paura finanziaria e del furto di proprietà intellettuale. Alta fiducia nella capacità di difesa delle grandi aziende, ma preoccupazione per la sicurezza nazionale.
Europa (UE)	Alta – Bersaglio geopolitico e di cybercrime	Paura della violazione dei diritti e della privacy (spinta dal GDPR) e della stabilità delle infrastrutture critiche (spinta dalla NIS2).
Asia	Molto Alta – Forte presenza di attacchi di Spionaggio e Hacktivism.	Paura dello spionaggio e del furto di segreti industriali, spesso percepito come minaccia geopolitica più che meramente criminale.
America Latina/Africa	In Crescita – Mercati emergenti con infrastrutture di sicurezza meno mature.	Paura di Frodi bancarie e truffe di massa che sfruttano le lacune infrastrutturali e la minore consapevolezza media.

Evoluzione degli attacchi e distribuzione globale

Interessante, per vedere la situazione da un punto di vista globale, spulciare qualche dato degli attacchi in giro per il mondo:

Anno	Target	Origine presunta	Attacchi gravi	Anno	Target	Origine presunta	Attacchi gravi
2015	USA	Cina, Russia	~1.200	2021	USA	Russia, Cina	~3.200 (+14.3%)
	Germania	Russia	~300		Italia	sconosciuta	~1.400 (+27.3%)
	UK	Iran	~250		Germania	Russia	~1.050 (+16.7%)
	Italia	sconosciuta	~180		UK	Iran	~980 (+15.3%)
	Giappone	Cina	~160		Brasile	sconosciuta	~820 (+17.1%)
	Brasile	sconosciuta	~140		India	Cina	~770 (+18.5%)
	India	Pakistan	~130		Francia	Russia	~720 (+20%)
	Francia	Russia	~120		Canada	Corea del Nord	~690 (+18.9%)
	Canada	Cina	~110		Giappone	Cina	~660 (+20%)
2020	USA	Russia, Cina	~2.800 (+21.7%)		Australia	sconosciuta	~620 (+24%)
	Italia	sconosciuta	~1.100 (+223%)	2023	USA	Russia, Cina	~3.800 (+10.1%)
	Germania	Russia	~900 (+80%)		Italia	sconosciuta	~2.400 (+33.3%)
	UK	Iran	~850 (+112.5%)		Germania	Russia	~1.400 (+16.7%)
	Brasile	sconosciuta	~700 (+169%)		UK	Iran	~1.300 (+18.2%)
	India	Cina	~650 (+170%)		Brasile	sconosciuta	~1.100 (+15.8%)
	Francia	Russia	~600 (+160%)		India	Cina	~1.050 (+16.7%)
	Canada	Corea del Nord	~580 (+163%)		Francia	Russia	~1.000 (+17.6%)
	Giappone	Cina	~550 (+96%)		Canada	Corea del Nord	~950 (+15.9%)
	Australia	sconosciuta	~500 (+150%)		Giappone	Cina	~900 (+15.4%)
					Australia	sconosciuta	~880 (+17.3%)
				2024	USA	Russia, Cina	~4.100 (+7.9%)
					Italia	sconosciuta	~3.000 (+25%)
					Germania	Russia	~1.700 (+21.4%)
					UK	Iran	~1.500 (+15.4%)
					Brasile	sconosciuta	~1.300 (+18.2%)
					India	Cina	~1.250 (+19%)
					Francia	Russia	~1.200 (+20%)
					Canada	Corea del Nord	~1.150 (+21%)
					Giappone	Cina	~1.050 (+16.7%)

I siti che riportano le cifre degli attacchi cyber non sempre sono concordi nel numero e si possono avere delle discrepanze. Tuttavia, vedendo e spulciando i dati da diversi di questi, riportati nella tabella qui sopra, possiamo forse essere concordi di alcune cose:

USA è il target principale per tutto il decennio, con attacchi attribuiti a Russia, Cina e Corea del Nord.
Italia ha visto un’escalation significativa, passando da ~180 attacchi gravi nel 2015 a oltre 3.500 nel 2025 (al momento ancora stimati).
Origine degli attacchi: spesso difficile da attribuire con certezza.
Crescita globale: il numero totale di attacchi gravi è aumentato di oltre il 300% tra il 2015 e il 2025.
Il numero degli attacchi è decisamente aumentato dall’avvento delle IA

Le origini degli attacchi sono naturalmente presunte e rispecchiano forse un atteggiamento occidentale poiché non ritengo plausibile che nazioni come USA o Israele non intraprendono azioni cyber contro gli storici avversari di una vita.

Quanto invece ai tipi di attacco, quando rivelati o scoperti, possiamo avere maggiori certezze e cercare di definire la loro evoluzione negli anni e le tendenze.

Evoluzione dei vettori di attacco:
2015–2017: predominano malware, phishing e attacchi DDoS.
2018–2020: esplosione del ransomware, con impatti economici e reputazionali.
2021–2025: emergono attacchi supply chain, cloud-native e AI-driven, con obiettivi più sofisticati.
Tendenze emergenti:
Ransomware domina dal 2017 in poi, ma si evolve: da semplice blocco file a estorsione, doppia/tripla minaccia, e attacchi supply chain.
AI-driven attacchi emergono dal 2022, con phishing personalizzati, deepfake vocali e intrusioni automatizzate.
Attacchi multi-vettore iniziano a comparire nel 2025, soprattutto contro USA, Italia e Giappone.

Nazione	2015–2016	2017–2018	2019–2020	2021–2022	2023–2024	2025
USA	Malware tradizionale	Ransomware	Ransomware + supply chain	Ransomware + AI-driven	AI-driven + deepfake phishing	Quantum-aware ransomware
Germania	Phishing	Credential stuffing	APT mirati	Cloud breaches	Supply chain + insider threats	AI assisted
UK	DDoS	Business Email Compromise (BEC)	BEC + ransomware	Ransomware + spoofing	Data exfiltration	AI-driven BEC
Italia	DDoS	Ransomware	Ransomware + phishing	Attacchi a PA e sanità	Supply chain + ransomware	Coordinated multi-vector attacks
Francia	Phishing	Data breach	Ransomware	Attacchi a infrastrutture critiche	Cloud-native malware	AI-powered data theft
Canada	Malware	Ransomware	Cloud ransomware	SaaS hijacking	AI-driven phishing	Quantum-resilient malware
India	Mobile malware	Banking trojan	Phishing + ransomware	Attacchi su mobile e fintech	Deepfake fraud	AI-enhanced phishing
Brasile	Defacement	Ransomware	Attacchi a e-commerce	Credential leaks	Botnet + ransomware	Coordinated botnet attacks
Giappone	DDoS	Supply chain	Attacchi a produttori tech	IoT malware	Firmware-level intrusion	AI-persistent threats
Australia	Spoofing	DDoS	Attacchi a telecom	Cloud hijacking	Ransomware + phishing	AI-driven infrastructure breach

Parallelo tra attacchi cyber ed eventi geopolitici

“Può il batter d’ali di una farfalla in Brasile provocare un tornado in Texas?” Edward Lorentz nel 1962 avanzò l’analisi dell’effetto farfalla, ma nel 1950 fu Alan Turing il primo a valutare un simile effetto citando gli elettroni.

Anche se non in maniera così drastica, son convinto che le coincidenze in àmbito geopolitico sono veramente poche.

La correlazione tra gli attacchi cyber e gli eventi geopolitici, inclusi conflitti, disastri e tensioni globali, è diventata sempre più stretta negli ultimi dieci anni. Il cyberspazio è ormai l’ennesimo dominio di guerra, utilizzato per spionaggio, sabotaggio, e guerra ibrida non convenzionale non ortodossa.

Volendo cercare ragioni sul perché degli aumenti degli attacchi cyber, si potrebbe cercare di fare correlazioni tra attacchi cyber ed eventi geopolitici, che ricordo rimane una speculazione accademica non potendo accertare collegamenti certi. E potremmo integrare la prima tabella con la seguente:

Anno	Eventi geopolitici chiave	Attacchi cyber correlati
2015	Inasprimento tensioni NATO–Russia, Attacco alla Rete Elettrica Ucraina	Attacchi APT russi contro Germania, USA e Ucraina, Primo attacco noto di successo per disattivare una rete elettrica nazionale Ucraina.
2016	Brexit, elezioni USA, Violazione DNC (Partito Democratico USA)	Interferenze digitali, phishing politico, leak email DNC, Attribuzione a un attore statale per influenzare le elezioni presidenziali USA.
2017	Attacco WannaCry (diffuso da Corea del Nord)	Coincide con sanzioni ONU e tensioni USA–Corea del Nord
2018	GDPR in Europa, tensioni USA–Cina	Aumento attacchi supply chain e furti dati da aziende tech europee
2019	Proteste Hong Kong, escalation USA–Iran	Attacchi DDoS e defacement contro siti governativi e media
2020	Pandemia COVID-19, Attacco SolarWinds (scoperto fine 2020)	Boom ransomware su sanità, tracciamento, e vaccini; Compromissione di un software di gestione usato da migliaia di agenzie e aziende governative (USA/UE).
2021	Crisi Afghanistan, Colonial Pipeline	Attacchi supply chain e spionaggio industriale USA–Russia. Blocco della più grande rete di oleodotti USA;
2022	Invasione russa dell’Ucraina	Cyberwar: attacchi a infrastrutture energetiche, media, PA ucraini ed europei. (Wiper/DDoS/Disinformazione)
2023	Tensioni Taiwan–Cina, crisi energetica	Attacchi a produttori chip, blackout simulati, phishing geopolitico
2024	Elezioni USA, escalation AI geopolitica	Deepfake, manipolazione social, attacchi AI-driven a infrastrutture critiche
2025	Conflitto russo-ucraino, instabilità mediorientale, disastri climatici	Attacchi coordinati su sanità, energia, trasporti.

Si possono fare alcune considerazioni molto elementari:

La cyberwar divenuta come estensione, non ortodossa, della guerra convenzionale, con attacchi, si e no, sponsorizzati da Stati.
Pandemia e sanità: nel 2020–2021, ospedali e centri di ricerca sono stati bersagliati da ransomware e furti di dati affiancando le truffe tradizionali durante la pandemia quali mascherine e contratti farmaci
Elezioni e manipolazione: disinformazione per l’influenza politica, non solo con attacchi
Disastri e vulnerabilità: eventi climatici e crisi energetiche hanno intensificato gli effetti negativi degli attacchi a infrastrutture critiche.

Come per il numero di attacchi, è impossibile fornire dati certi che rivelino l’incidenza dei tipi di attacco, ma possiamo sempre fare delle stime:

Tipologia di Attacco	Stima Percentuale Media sul Totale	Variazioni di Trend
Malware (Ransomware)	35% – 45%	Costantemente la tipologia più diffusa, con il Ransomware in crescita costante fino al 2023.
Phishing/Social Engineering	15% – 25%	Vettore iniziale in forte aumento, spesso propedeutico ad attacchi Ransomware o Data Theft.
Sfruttamento di Vulnerabilità	10% – 20%	Utilizzato soprattutto in attacchi di Spionaggio/APT e in attacchi mirati alla Supply Chain.
DDoS (Distributed Denial of Service)	5% – 15%	Forte picco nel 2022-2023 a causa dell’Hacktivism legato alla guerra in Ucraina (poi lieve calo nel 2024).
Furto di Credenziali / Data Theft	5% – 10%	Tecnica che sottende a molte violazioni di dati, spesso classificata sotto Phishing o Malware che rubano le credenziali.

La situazione italiana: distribuzione degli attacchi

Volgiamo ora il nostro sguardo all’Italia e facciamo delle considerazioni forse ovvie.

Non tutti gli attacchi sono uguali, non tutti i settori son in egual misura colpiti (per quel che si sa e viene censito), ma tutti i settori merceologici sono ugualmente a rischio e colpiti:

Anno	Numero Attacchi Gravi in Italia	Percentuale di Crescita (A-A)	Top 3 Settori Più Colpiti
2015	100		Finanza, Manifatturiero, Istruzione
2020	166	+6.2%	Manifatturiero, Sanità, PA
2021	191	+15%	Manifatturiero, TLC/Media, Finanza
2022	239	+25.1%	PA/Difesa, Sanità, Finanza
2023	310	+29.7%	PA/Difesa, Sanità, Manifatturiero
2024	357	+15.2%	PA/Difesa, Sanità, Manifatturiero
2025	Tendenza in forte aumento		PA/Difesa, Finanza, Manifatturiero, Infrastrutture Critiche

I settori più colpiti non sono solo le aziende private, ma anche le infrastrutture critiche e la Pubblica Amministrazione (PA).

Questo può essere attribuito alla mancanza di consapevolezza di sicurezza informatica (nelle PA) ma anche al fatto che prima della pandemia si pensava di non aver nulla di prezioso ma che dopo si è stati vittima anche della mancanza di infrastrutture adeguate (Sanità).

Alcuni esempi:

Anno	Organizzazione Colpita (Pubblicamente Nota)	Impatto Principale
2015-2017	Leonardo S.p.A. (Insider threat/Spionaggio)	Furto di dati militari riservati (progetti di velivoli).
2021	Regione Lazio (Attacco Ransomware)	Blocco totale del CED (Centro Elaborazione Dati) sanitario e amministrativo.
2022	ENI/GSE/Terna (Attacchi DDoS/APT)	Operazioni legate all’intensificarsi del conflitto russo-ucraino contro l’energia.
2023	Poste Italiane/Autogril (Attacco Ransomware) Regione ABruzzo	Violazione di dati di clienti e dipendenti e interruzione di servizi. Attacco ransomware che ha compromesso i sistemi informativi (Regione Abruzzo), costringendo l’ente a una lunga fase di recupero e ripristino di molti servizi online. L’attacco è stato ampiamente discusso per il suo impatto sui servizi pubblici

Tendenza della Spesa in cybersecurity delle aziende italiane

La domanda sorge spontanea: dopo tanto essere indiscriminatamente sotto mira, si è avuta una reazione da parte del mercato e delle aziende? E se sì, con quale orientamento?

Beh, ho cercato i budget di spesa e di vederne la variazione di anno su anno dei vari settori merceologici, e ho visto una reazione ai vari episodi internazionali e nazionali. La risposta mi sembra sia avvenuta, anche se si potrebbe sempre argomentare se in misura adatta o in qualche modo sproporzionata (in più o in meno).

Vediamo subito una stima dei dati trovati, dove i numeri si riferiscono a milioni di euro:

Anno	Totale stimato	Banche, Finanza, Assicurazioni	Sanità	PA e Difesa	Industria & Manifattura	ICT & Telecomunicazioni	Retail & Servizi
2015	700	180	40	120	100	160	100
2016	820	210	50	130	120	180	130
2017	950	240	60	140	140	200	170
2018	1100	280	75	160	160	230	195
2019	1300	320	90	180	180	270	260
2020	1500	370	110	200	200	310	310
2021	1700	420	130	220	220	350	360
2022	1850	460	150	240	240	390	370
2023	1950	500	170	260	260	420	340
2024	2150	540	190	280	280	460	400
2025	2480	620	220	300	310	520	510

E per gli appassionati di grafica:

Un punto chiave molto positivo salta subito all’occhio: in nessuno dei settori si è registrata una diminuzione della spesa; inoltre, possiamo dire che:

Settore banche, Finanza, Assicurazioni: guida la spesa per tutto il decennio, con investimenti crescenti
Sanità: crescita significativa post-2020, spinta dalla digitalizzazione e dalla protezione dei dati sanitari.
Pubblica Amministrazione e difesa: investimenti costanti, con accelerazione dopo l’adozione della strategia nazionale di cybersicurezza.
ICT & telecomunicazioni: settore ad alta esposizione, con forte spinta verso soluzioni AI-driven e cloud-native.
Retail & servizi: aumento marcato dopo il boom dell’e-commerce e dei pagamenti digitali.

Inoltre, si deve sicuramente affermare che i fattori chiave della crescita sono da ritrovare non tanto in una consapevolezza di una cultura della sicurezza (forse in una minima parte) quanto forse di più nei danni subiti (lo vediamo più avanti) dagli attacchi e dalla spinta imposta dai vari regolamenti europei, e per ultimo lo sviluppo tecnologico, infatti:

Aumento degli attacchi informatici: Nel 2024, il 73% delle grandi imprese italiane ha subito almeno un attacco.
Digitalizzazione accelerata: L’adozione di cloud, IoT e smart working ha ampliato la superficie d’attacco.
Ruolo dell’Intelligenza Artificiale: L’AI è sia una minaccia (attacchi più sofisticati) sia una risorsa (difese più intelligenti).
Normative più stringenti: Regolamenti europei come il GDPR e la direttiva NIS2 hanno spinto le aziende a investire in sicurezza.

Nel 2015, la cyber security era spesso vista come un costo, non un investimento strategico. Le PMI in particolare tendevano a sottovalutarne l’importanza.

Nel 2025, la sicurezza informatica è diventata un pilastro della resilienza digitale. Le aziende non solo investono di più, ma lo fanno in modo più mirato: threat intelligence, SOC, zero trust, e formazione del personale.

Ma questo è un punto di partenza che porta ad una valutazione della spesa correlata agli attacchi subiti ed una valutazione stimata dei danni. Esistono report di molte fonti e tra i più autorevoli per questo tipo di analisi a livello globale è l’annuale IBM Cost of a Data Breach Report, condotto in collaborazione con il Ponemon Institute. Restando in Italia e facendo una media con altre fonti altrettanto autorevoli possiamo iniziare con il vedere i numeri:

Budget di spesa e impatto di spesa generato degli attacchi

Parallelotraspesa,attacchisubitieincrementoannuo(Italia,2015–2025)

Anno	Settore	Spesa (M€)	Attacchi subiti (%)	Incremento spesa (%)	Anno	Settore	Spesa (M€)	Attacchi subiti (%)	Incremento spesa (%)
2015	BFSI	180	35%	—	2023	BFSI	500	67%	8.70%
	Sanità	40	12%	—		Sanità	170	40%	13.30%
	PA	120	25%	—		PA	260	45%	8.30%
	Industria	100	18%	—		Industria	260	40%	8.30%
	ICT	160	28%	—		ICT	420	55%	7.70%
	Retail	100	15%	—		Retail	340	45%	−8.1%
2020	BFSI	370	52%	15.60%	2024	BFSI	540	70%	8%
	Sanità	110	26%	22.20%		Sanità	190	42%	11.80%
	PA	200	35%	11.10%		PA	280	50%	7.70%
	Industria	200	30%	11.10%		Industria	280	45%	7.70%
	ICT	310	40%	14.80%		ICT	460	58%	9.50%
	Retail	310	32%	19.20%		Retail	400	48%	17.60%
2021	BFSI	420	58%	13.50%	2025	BFSI	620	75%	14.80%
	Sanità	130	30%	18.20%		Sanità	220	48%	15.80%
	PA	220	38%	10%		PA	300	55%	7.10%
	Industria	220	33%	10%		Industria	310	50%	10.70%
	ICT	350	45%	12.90%		ICT	520	65%	13%
	Retail	360	38%	16.10%		Retail	510	55%	27.50%
2022	BFSI	460	63%	9.50%
	Sanità	150	36%	15.40%
	PA	240	42%	9.10%
	Industria	240	37%	9.10%
	ICT	390	50%	11.40%
	Retail	370	42%	2.80%

Osservazioni chiave:

BFSI: settore più colpito e più reattivo, con investimenti crescenti e attacchi in forte aumento (da 35% a 75%).
Sanità: incremento significativo post-pandemia, con attacchi quasi quadruplicati.
ICT & Telecomunicazioni: attacchi in crescita costante, con spesa che segue a ruota.
Retail & Servizi: forte accelerazione tra 2020 e 2025, legata all’e-commerce e ai pagamenti digitali.
PA e Difesa: incremento graduale, ma con attacchi sempre più sofisticati (APT, ransomware statali).
Industria: crescita costante, con attacchi legati a supply chain e IoT.
PMI: Nonostante i numeri assoluti siano inferiori, l’impatto percentuale sui bilanci delle PMI è spesso considerevole. Alcuni report stimano che il danno medio per una PMI si aggiri sui €50.000 – €70.000 per attacco.
Costo per record violato: Altro indicatore chiave è il costo medio per ogni singolo record di dato rubato.

Questo costo è spesso più alto soprattutto nei settori come Sanità e Farmaceutico, dove l’informazione è altamente regolamentata e monetizzabile.

Il costo totale non include solo il riscatto (se pagato), ma anche:

Rilevamento ed escalation (analisi forense, indagine).
Notifica (comunicazioni obbligatorie al Garante Privacy e ai clienti).
Perdita di business (downtime, perdita di clienti).
Costi post-violazione (multe, contenziosi legali, monitoraggio del credito).
GDPR: l’introduzione di normative più severe sulla gestione e notifica delle violazioni ha contribuito a un aumento strutturale dei costi per le aziende.

Gli anni della pandemia, inoltre, hanno accelerato la digitalizzazione e il passaggio al cloud, esponendo nuove superfici di attacco a possibili attacchi ransomware.

Nella tabella sottostante possiamo osservare la correlazione tra attacchi e spesa (2015–2025).

Settore	Coefficiente di correlazione (r)	Interpretazione
BFSI	+0.98	Correlazione fortissima: la spesa cresce quasi in parallelo con l’aumento degli attacchi.
Sanità	+0.97	Correlazione molto forte: la spesa segue l’aumento degli attacchi, soprattutto post-2020.
Pubblica Amministrazione	+0.95	Correlazione forte: la spesa aumenta con l’esposizione crescente a minacce.
Industria & Manifattura	+0.94	Correlazione forte: la spesa cresce in risposta a minacce su supply chain e IoT.
ICT & Telecomunicazioni	+0.96	Correlazione molto forte: settore ad alta esposizione, con spesa reattiva.
Retail & Servizi	+0.99	Correlazione quasi perfetta: boom di attacchi e-commerce ha spinto investimenti.

È bene precisare che il coefficiente di correlazione tra attacchi informatici e spesa in cyber security(2015–2025) viene calcolato usando la formula di Pearson, basata su dati annuali aggregati.

Il coefficiente di correlazione di Pearson misura la forza e la direzione della relazione lineare tra due variabili quantitative.

La formula utilizzata è:

Dove:

xi=numero di attacchi informatici nel paese i per l’anno t
yi=spesa in cyber security nel paese i per l’anno t
xˉ,yˉ=media dei valori di attacchi e spesa nel periodo 2015–2025

Per dirla come ad un bambino di sei anni:

La formula di Pearson è come un termometro dell’amicizia tra cose:

Se il numero è vicino a +1, le cose crescono insieme (più caramelle, più felicità).
Se è vicino a -1, una cresce e l’altra scende (più compiti, meno gioco).
Se è vicino a 0, non si capisce bene se sono amiche o no.

Possiamofacilmentevedereche:

Tutti i settori mostrano una correlazione superiore a +0.94, indicando che la spesa in cybersecurity è altamente reattiva all’aumento degli attacchi.
Il settore Retail mostra la correlazione più alta, probabilmente per la crescita esplosiva dell’e-commerce e dei pagamenti digitali.
Il settore Sanità ha avuto un’accelerazione post-pandemia, con attacchi ransomware e furti di dati sanitari sensibili.
La PA ha aumentato la spesa in modo più graduale, ma comunque coerente con l’aumento delle minacce.

Tutti i settori hanno mostrato una relazione diretta e crescente tra il numero di attacchi subiti e l’aumento della spesa in sicurezza informatica. In parole semplici: più attacchi = più investimenti.

Banche e assicurazioni (BFSI) Sono sempre stati i più bersagliati (dal 35% al 75% delle organizzazioni colpite). Di conseguenza, la spesa è più che triplicata, passando da 180 a 620 milioni di euro.
Sanità Attacchi raddoppiati dopo il 2020, soprattutto ransomware. La spesa è cresciuta di oltre il 450%, da 40 a 220 milioni di euro.
Pubblica Amministrazione Attacchi in aumento costante (dal 25% al 55%), con spesa che segue un trend lineare, da 120 a 300 milioni.
Retail e servizi Boom di attacchi legati all’e-commerce e ai pagamenti digitali. La spesa è quintuplicata, da 100 a 510 milioni.

Perchéquestacorrelazioneèimportante?Perché:

Rende visibile la reattività del sistema economico: le aziende italiane, pur partendo in ritardo, hanno iniziato a investire in modo più strategico.
Mostra la maturazione del mercato: non si investe più solo in antivirus, ma in threat intelligence, formazione, zero trust, e risposta agli incidenti.
Evidenzia i settori più vulnerabili: sanità, PA e retail sono diventati bersagli prioritari per i cybercriminali.

Al pari dell’analisi del budget speso per gli attacchi subiti esistono naturalmente anche report che mettono in evidenza i danni subiti in seguito ad attacchi. Io ho voluto mettere in relazione anche il tipo di attacco prevalente:

Anno	Settore	attacco prevalente	Perdita	%	Anno	Settore	attacco prevalente	Perdita	%
2015	BFSI	Phishing + malware	220	—	2023	BFSI	Quantum-aware ransomware	770	11.60%
	Sanità	DDoS + furto dati	45	—		Sanità	AI ransomware + spoofing	280	16.70%
	PA	Defacement + ransomware	80	—		PA	Coordinated multi-vector	360	16.10%
	Industria	Malware + sabotaggio	70	—		Industria	AI sabotage + firmware hack	310	14.80%
	ICT	DDoS + credential theft	130	—		ICT	Adversarial ML attack	490	13.90%
	Retail	Phishing + carding	60	—		Retail	AI phishing + fraud	400	17.60%
2020	BFSI	Ransomware + AI phishing	520	23.80%	2024	BFSI	Quantum-aware ransomware	830	7.80%
	Sanità	Ransomware + data leak	160	60%		Sanità	AI ransomware + spoofing	300	7.10%
	PA	Supply chain attack	210	31.30%		PA	Coordinated multi-vector	390	8.30%
	Industria	IoT malware + sabotage	190	26.70%		Industria	AI sabotage + firmware hack	340	9.70%
	ICT	Cloud hijacking	310	29.20%		ICT	Adversarial ML attack	540	10.20%
	Retail	Deepfake + identity theft	220	57.10%		Retail	AI phishing + fraud	440	10%
2021	BFSI	AI-driven ransomware	610	17.30%	2025	BFSI	Quantum-aware ransomware	880	6%
	Sanità	AI phishing + ransomware	200	25%		Sanità	AI-driven ransomware	320	6.70%
	PA	Coordinated multi-vector	260	23.80%		PA	Coordinated multi-vector	420	7.70%
	Industria	AI sabotage + firmware hack	230	21.10%		Industria	AI sabotage + firmware hack	390	14.70%
	ICT	Adversarial ML attack	370	19.40%		ICT	Adversarial ML attack	580	7.40%
	Retail	AI phishing + fraud	280	27.30%		Retail	AI phishing + fraud	480	9.10%
2022	BFSI	AI ransomware + spoofing	690	13.10%
	Sanità	AI-driven ransomware	240	20%
	PA	Coordinated multi-vector	310	19.20%
	Industria	AI sabotage + firmware hack	270	17.40%
	ICT	Adversarial ML attack	430	16.20%
	Retail	AI phishing + fraud	340	21.40%

Sanità e PA hanno registrato i maggiori incrementi percentuali post-pandemia e post-invasione Ucraina.
Finanza e ICT subiscono perdite più elevate in valore assoluto, ma con crescita più contenuta grazie a investimenti in difesa.
Retail è il settore con la maggiore crescita percentuale cumulata, trainata da e-commerce e frodi digitali.
Naturalmente si parla sempre di stime in milioni di euro.

Il fuoco amico: l’impatto degli attacchi interni

Ma si sa, l’appetito vien mangiando e la curiosità aumenta. Mi son chiesto quale fosse l’impatto di impiegati scontenti o al soldo di aziende concorrenti come nei migliori film di spionaggio.

Il panorama reale non atteso si è rivelato più fantasioso della fantasia e anche i “delatori” interni sono mediamente cresciuti negli anni al pari della tecnologia e degli eventi concomitanti.

Anno	Settore	% Esterni	% Interni	Note sintetiche	Anno	Settore	% Esterni	% Interni	Note sintetiche
2015	Sanità	93%	7%	Ransomware e furto dati da fonti esterne	2023	Sanità	73%	27%	Attacchi AI su cartelle cliniche
	PA	95%	5%	Defacement e phishing su siti istituzionali		PA	75%	25%	Coordinated insider threat
	BFSI	90%	10%	Malware e phishing bancario		BFSI	68%	32%	AI fraud e spoofing
	Industria	92%	8%	Malware e sabotaggi esterni		Industria	75%	25%	Insider su firmware e OT
	ICT	88%	12%	DDoS e credential stuffing		ICT	70%	30%	AI-driven insider threat
	Retail	91%	9%	Phishing e frodi e-commerce		Retail	71%	29%	Manipolazione identità AI
2020	Sanità	80%	20%	Smart working e BYOD	2024	Sanità	72%	28%	AI spoofing e furti credenziali
	PA	82%	18%	Supply chain e insider		PA	73%	27%	Insider e sabotaggi documentali
	BFSI	75%	25%	Insider fraud e AI phishing		BFSI	66%	34%	AI fraud e insider avanzati
	Industria	82%	18%	Sabotaggi firmware e credenziali		Industria	73%	27%	Insider threat e sabotaggi firmware
	ICT	78%	22%	Insider threat su SaaS		ICT	68%	32%	AI adversarial e insider DevSecOps
	Retail	80%	20%	Furti identità e frodi interne		Retail	69%	31%	Frodi AI e manipolazioni interne
2021	Sanità	78%	22%	Deepfake e spoofing interno	2025	Sanità	70%	30%	AI-driven phishing e deepfake
	PA	80%	20%	Attacchi reputazionali e documentali		PA	72%	28%	Attacchi reputazionali e sabotaggi documentali
	BFSI	72%	28%	AI spoofing e insider fraud		BFSI	65%	35%	Insider fraud + AI spoofing
	Industria	80%	20%	Insider su PLC e firmware		Industria	70%	30%	Firmware sabotage e credenziali compromesse
	ICT	75%	25%	Attacchi su modelli AI		ICT	65%	35%	Attacchi su modelli AI e insider DevSecOps
	Retail	77%	23%	Manipolazione identità e frodi		Retail	68%	32%	Manipolazione identità e frodi interne
2022	Sanità	75%	25%	AI-driven phishing e ransomware
	PA	78%	22%	Insider e sabotaggi reputazionali
	BFSI	70%	30%	Frodi AI e accessi non revocati
	Industria	78%	22%	Insider threat e sabotaggi
	ICT	72%	28%	AI adversarial e insider DevSecOps
	Retail	74%	26%	Frodi interne e spoofing AI

Gli attacchi esterni restano dominanti, ma quelli interni sono in crescita costante, spesso legati a errori umani, accessi non revocati, o sabotaggi. Mai avrei pensato che potessero arrivare fino ad 1/3 del totale in alcuni casi
La convergenza tra IT e OT ha aumentato la superficie d’attacco interna, soprattutto in ambienti produttivi.
Le aziende più esposte sono quelle con bassa segmentazione di rete, assenza di monitoraggio comportamentale e gestione debole delle identità digitali.

Le recidive loro malgrado

Occorredunquefareunpuntodellasituazionedopotantinumeri.

I vari report a disposizione forniscono un quadro piuttosto serio che devono far crescere, e in alcuni casi far nascere, la consapevolezza del rischio che abbiamo alle porte perché Clusit, IBM e molti altri, forniscono dati che riportano anche la recidività non voluta dell’essere vittime degli attacchi informatici: se colpite una volta, molto probabilmente saranno vittime di attacchi futuri; tra i fattori che aumentano i costi dovuti agli attacchi e il numero degli attacchi stessi, vi sono la carenza di competenze in materia di sicurezza e la complessità del sistema di sicurezza.

L’essere un bersaglio riconosciuto, essere già stato vittima di un attacco andato a buon fine (perché non ci dobbiamo scordare che è di questo che stiamo parlando), o avere un’alta reputazione di impenetrabilità: tutti questi sono tra i maggiori aspetti che vengono rilevati quando un attacco viene censito, denunciato, condiviso.

La cosiddetta “pesca a strascico” (esiste anche questo aspetto) contro le PMI italiane è una strategia redditizia per i criminali, il che significa che molte piccole e medie imprese, se non migliorano la sicurezza, vengono colpite ripetutamente da campagne non mirate.

Un’azienda che subisce una violazione e non corregge in modo strutturale le carenze di sicurezza (es. non forma il personale o non investe in tecnologia) mantiene le stesse vulnerabilità. Questo porta inevitabilmente a essere colpita di nuovo, anche da attori criminali diversi.

Per motivi legali e di reputazione, molte aziende private raramente ammettono pubblicamente di essere state vittime di attacchi ripetuti, a meno che l’incidente non sia di dominio pubblico e documentato da indagini ufficiali o comunicati obbligatori.

Tuttavia, esistono casi di organizzazioni italiane e globali il cui coinvolgimento in incidenti multipli è stato confermato:

Leonardo S.p.A.: il caso di Leonardo S.p.A. è un esempio noto e documentato in Italia. I report e le indagini giudiziarie hanno rivelato che il gruppo è stato oggetto di distinti attacchi informatici tra il 2015 e il 2017, compreso un grave attacco insider e altre campagne di cyber spionaggio. Questa è una delle poche volte in cui l’attacco ripetuto a un’azienda strategica è stato reso pubblico con tale chiarezza.
Grandi colossi globali: aziende come Yahoo, Marriott, e persino Microsoft (attraverso i suoi clienti) sono state coinvolte in più violazioni di dati in anni diversi. Sebbene non sia sempre un’ammissione diretta di “recidività per scarsa sicurezza”, la cronologia degli eventi dimostra che i grandi player strategici sono bersagli costanti e subiscono incidenti multipli nel tempo.

In conclusione, la tendenza è ben documentata (le aziende colpite rimangono vulnerabili), ma l’ammissione pubblica è limitata a casi di altissimo profilo o dove è imposta da indagini giudiziarie.

Tendenza degli attacchi: come l’AI sta cambiando il panorama cyber

L’avvento dell’Intelligenza Artificiale (AI), in particolare dell’AI generativa (come i Large Language Models – LLM), è considerato il principale fattore di trasformazione nel panorama delle minacce future (2025-2030), sia a livello offensivo che difensivo.

La tendenza futura degli attacchi cyber vede un forte impatto con tecniche sempre più automatizzate, adattive e mirate. I settori merceologici rispondono in modo diverso: sanità, manifattura e PA sono tra i più esposti, mentre finanza e ICT investono già in difese “AI-driven”. L’AI non crea nuovi tipi di attacco, ma li rende più veloci, scalabili e personalizzati (e forse piu’ efficaci).

Secondo i report 2025 di Agenda Digitale, Trend Micro e BizzIT, le principali tendenze includono:

Attacchi AI-driven: malware e phishing generati da modelli linguistici, capaci di imitare comunicazioni interne, simulare identità e adattarsi in tempo reale.
Deepfake e social engineering avanzato: video e audio falsificati per truffe, frodi finanziarie e manipolazione reputazionale.
Attacchi supply chain automatizzati: targeting di fornitori e partner con strumenti AI per scalare lateralmente.
Malware polimorfico: codice che si modifica autonomamente per eludere le difese tradizionali.
AI adversarial attacks: manipolazione di modelli di machine learning per causare errori nei sistemi di difesa, riconoscimento facciale, o classificazione.
Attacchi predittivi: AI che analizza pattern di vulnerabilità per colpire nel momento più efficace.
Phishing generativo: e-mail e messaggi creati da AI, indistinguibili da quelli reali, capaci di ingannare anche utenti esperti.

Tutti i settori sono coinvolti anche se, come detto e ovvio, non tutti vittime dello stesso tipo di attacco data la differenza delle strutture; il settore pubblico è ancora l’anello debole della catena per sistemi obsoleti e formazione del personale.

Settore Merceologico	Obiettivo/Asset Principale	Trend di Attacco Più Rischioso con AI
Sanità (Healthcare)	Dati clinici sensibili e continuità operativa. scarsa segmentazione	Ransomware 2.0: Attacchi di riscatto estremamente veloci e mirati per bloccare i sistemi di gestione dei pazienti. Le e-mail di phishing (BEC) generate dall’AI per il personale ospedaliero sono particolarmente efficaci.
Finanza e Assicurazioni	Dati transazionali e fiducia. Target ad alto valore, compliance	Frodi Iper-Personalizzate: Uso di Deepfake vocali per bypassare l’autenticazione telefonica o lanciare attacchi BEC (Business E-mail Compromise) che imitano alla perfezione i dirigenti per autorizzare bonifici fraudolenti. Frodi AI + attacchi predittivi
Manifatturiero e Industriale (OT)	Proprietà intellettuale e fermo di produzione, OT legacy, supply chain.	Sabotaggio IoT/OT: L’AI ottimizza l’attacco ai dispositivi IoT e ai sistemi di controllo industriale (OT), causando interruzioni fisiche. Aumento del furto di proprietà intellettuale attraverso malware polimorfico.
Settore Pubblico e Governo	Stabilità, fiducia pubblica e dati strategici. Sistemi obsoleti	Guerra di disinformazione: Utilizzo di AI per campagne di disinformazione su larga scala, Deepfake di figure politiche, e attacchi ai sistemi di identità digitale e ai registri pubblici. Phishing AI + attacchi reputazionali
Retail e Servizi	Dati dei clienti, logistica e e-commerce.	Attacchi alla Supply Chain: Penetrazione dei sistemi di gestione della logistica o dei fornitori per interrompere la catena di approvvigionamento e furto di dati di pagamento massivi attraverso falle in piattaforme e-commerce di terze parti. Phishing AI + manipolazione identità
ICT & Telecom	Infrastrutture critiche, cloud	AI adversarial + attacchi su modelli ML

I settori più maturi sono quelli di finanza, e ICT e stanno integrando AI anche nelle difese: anomaly detection, threat hunting automatizzato, e risposta autonoma. Cloud e ambienti distribuiti amplificando la superficie d’attacco, rendono cruciale la protezione AI-nativa per una ovvia questione di capacità di analisi e risposta.

Tendenza di Attacco	Descrizione dell’Impatto AI
Iper-Personalizzazione (Phishing / BEC)	L’AI Generativa crea in automatico e-mail, messaggi e persino chiamate vocali (Deepfake audio) perfettamente credibili e mirate a un singolo dipendente, superando le difese basate su pattern linguistici standard.
Malware Adattivo e Polimorfico	L’AI viene usata per generare codice malevolo che può mutare e riorganizzarsi rapidamente, rendendo obsoleti i tradizionali sistemi di Signature-Based Detection (basati sulla firma del malware).
Attacchi a Catena di Fornitura (Supply Chain)	L’AI può scansionare e identificare rapidamente le vulnerabilità meno evidenti nei sistemi dei fornitori di terze parti, permettendo agli hacker di penetrare un bersaglio grande attraverso un anello debole (spesso una PMI).
Attacchi a Sistemi AI (Shadow AI)	I criminali prendono di mira i modelli di AI stessi, o gli strumenti di AI non governati (la “Shadow AI” usata dai dipendenti). In Italia, la mancanza di governance sull’AI è un problema crescente.
Aumento della Disinformazione	L’AI generativa permette la creazione di Deepfake video e audio altamente realistici, utilizzati per frodi, estorsioni e per minare la reputazione e la fiducia aziendale o pubblica.

La supply chain non è esente. Prevenire meglio che curare

Secondo Kaspersky, Barracuda e Gartner, le principali tendenze di pensiero accademico riguardo l’inclusione e l’impatto nella supply chain, includono i seguenti atteggiamenti:

Riconoscere la supply chain come vettore primario di attacco
Esempi emblematici: SolarWinds (2020), CrowdStrike (2024), MOVEit (2023).
Automazione e AI nella previsione
Le aziende stanno adottando modelli predittivi basati su AI per analizzare pattern di rischio nei fornitori. L’AI viene usata per simulare scenari di attacco e identificare punti deboli prima che vengano sfruttati.
Monitoraggio continuo e verifica dei fornitori
Si passa da audit annuali a monitoraggio in tempo reale di posture di sicurezza, aggiornamenti e anomalie.
Cresce l’adozione di strumenti di “third-party risk management” e “continuous validation”.
Segmentazione e isolamento delle reti
Le aziende più mature adottano architetture “zero trust” e microsegmentazione per limitare i movimenti laterali in caso di compromissione.
Trasparenza e condivisione delle informazioni
Cresce la collaborazione tra aziende, CERT e autorità per condividere indicatori di compromissione (IoC) e intelligence sulle minacce.

L’abbandono di un perimetro di difesa delimitato e statico a favore di un approccio dinamico e basato sulla fiducia zero è il concetto centrale da cui partire.

La previsione non è più vista come la ricerca di un singolo “segnale di allarme” nel tuo sistema, ma come la comprensione e il monitoraggio continuo del rischio latente in tutta la catena dei fornitori. Tecnologia globalmente distribuita, conoscenza tecnologica sempre più comune, fanno il rischio latente e continuo, imponendo un’attenzione continua, reattiva e proattiva.

Naturalmente la base è riconoscere che una prevenzione perfetta è impossibile, quindi continuo aggiornamento e vigilanza.

Uno strumento è rappresentato dalle piattaforme di Security Rating, aggiornandolo in tempo reale in base a vulnerabilità note, patching e esposizione, stanno diventando sempre più comuni; alcune tra queste sono SecurityScorecard, CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne, Huntress, Datto, Bitsight, SOCRadar, Exiger

La prevenzione si articola su tre pilastri: governance, tecnologia e collaborazione.

Governance e contratto (Controlli Organizzativi)
Mappatura e classificazione dei Fornitori.
Contratti di sicurezza (Clausole Dettagliate).
Diversificazione del rischio: si evita di affidare a un unico fornitore critico tutta la gestione di un servizio riducendo l’impatto di un singolo punto di fallimento.
Tecnologia: controlli tecnici e architetturali
- Zero Trust Network Access (ZTNA).
- Segmentazione della Rete.
- Analisi Comportamentale degli Utenti e delle Entità (UEBA).
Collaborazione e Cultura
Formazione e condivisione.
Pianificazione di Risposta.

L’impatto della IA sulla cyber security italiana

Dunque, dal 2015 il panorama della cybersecurity è profondamente cambiato, ed è cambiato grazie o per colpa anche dell’introduzione dell’intelligenza artificiale. Una domanda che sorge spontanea è: come nel futuro l’AI influirà nel panorama italiano della cyber security?

Iniziamo con il dire che dal punto di vista economico solo una piccola percentuale delle imprese italiane è pienamente pronta ad affrontare minacce digitali complesse, il 51% si dichiara vulnerabile agli attacchi AI soprattutto per carenza di competenze e formazione e che al momento la spesa in cybersecurity ha superato i 2 miliardi di euro nel 2024, ma, come abbiamo visto, è l’investimento è ancora concentrato in pochi settori (finanza, ICT). La spesa cyber in Italia è cresciuta nel 2025, ma resta sotto la media UE.

Il Piano Nazionale di Cybersicurezza 2025–2027 prevede incentivi per PMI e PA per raggiungere livelli minimi di protezione entro il 2026.Le proiezioni 2025 – 2027 stimano che il mercato AI in Italia e la cybersecurity AI-driven si aprirà da 2 miliardi nel 2024 a 2,75 miliardi nel 2027 con una crescita attesa stimata in +90% per quanto riguarda l’AI e +37% la cybersecurity, con forte convergenza tra i due ambiti.

I vari settori merceologici dovrebbero prestare attenzione ad aspetti diversi, con impegno diversi, diversi investimenti e velocità differenti. Sanità, PMI e PA sono in ritardo rispetto a Finanza e ICT, ad esempio, necessitando quindi di un investimento più alto per investimenti generalizzati anche per l’obsolescenza infrastrutturale di cui molte aziende risentono; l’AI può aiutare Finanza e ICT per sistemi più reattivi mentre avrebbe un ruolo rilevante nel proteggere gli ambienti OT e supply chain nel settore manifatturiero.

L’AI sta rivoluzionando il settore lavorativo lungo percorsi che si possono identificare nelle seguenti:

Prevenzione
tramite il rilevamento di anomalie (Threat Hunting) dove in particolare il Machine Learning è essenziale per analizzare grandi volumi di dati e identificare modelli comportamentali anomali nei log, nel traffico di rete e negli endpoint che sfuggirebbero agli analisti umani;
vulnerability management dove l’AI potrebbe assegnare punteggi di rischio alle vulnerabilità, aiutando le aziende a dare le priorità sugli aggiornamenti con decisioni mirate.
Gestione e Risoluzione
automazione e velocità di risposta, la famosa reattività: l’impatto maggiore si registra nell’automazione della risposta agli incidenti (SOAR – Security Orchestration, Automation and Response), dove l’AI permette di classificare, contenere e avviare azioni correttive in pochi secondi o minuti, riducendo drasticamente il Tempo Medio di Rilevamento e Contenimento(MTTD/MTTR) e con evidente riduzione del carico di lavoro, liberando gli analisti per altri compiti.

Se si vuole una stima un po’ più articolata del budget di spesa previsto per l’ammodernamento del settore, Anitec-Assinform prevedono un budget minimo che varia tra il 0,5% e il 3% del fatturato annuo, dove l’investimento rappresenta non solo il minimo necessario ma anche il minimo richiesto dalle varie direttive europee e/o nazionali

Settore	% stimata sul fatturato	Budget minimo stimato	Note operative
Sanità	2,5–3%	320–380	Protezione dati clinici, segmentazione reti, backup isolati
Pubblica Amministrazione	2–2,5%	420–480	Difesa infrastrutture critiche, formazione, risposta incidenti
Finanza (BFSI)	1,5–2%	600–700	SIEM avanzati, AI per frodi, compliance normativa
Industria & Manifattura	1–1,5%	390–450	Protezione OT, controllo accessi, threat intelligence
ICT & Telecom	1–1,2%	580–620	Cloud security, AI adversarial defense, SOC evoluti
Retail & Servizi	0,5–1%	280–320	Protezione e-commerce, antifrode, gestione identità

E non ci si deve scordare che un settore “idrovora” nel campo AI e cyber è rappresentato dal comparto Difesa e Intelligence (ai quali forse si potrebbe dedicare un articolo separato e di cui abbiamo parlato poco).

Tendenza di crescita delle professioni in cyber security

Influenzando gli aspetti tecnici naturalmente l’AI influenzerà anche il personale necessario per poter gestire tutto ciò e non solamente per colmare il gap necessario al momento.

Secondo ICT Security Magazine e Rassegna Business si stimano oltre 300.000 posizioni da coprire entro il 2030, con una crescita annua del 15–20%. I ruoli richiesti spaziano dalla difesa operativa all’analisi strategica, anche son ruoli junior o middle, con stipendi e specializzazioni in aumento (circa +12%).

Ruolo	Descrizione	Competenze chiave
Cybersecurity Analyst	Monitoraggio e analisi degli incidenti	SIEM, threat intelligence, log analysis
Security Engineer	Progettazione e implementazione di soluzioni di difesa	Firewall, IDS/IPS, scripting
SOC Operator	Gestione operativa degli allarmi e incidenti	SIEM, risposta rapida, escalation
Penetration Tester / Ethical Hacker	Simulazione di attacchi per testare la sicurezza	Kali Linux, Metasploit, OWASP
Incident Response Specialist	Coordinamento e contenimento degli attacchi	DFIR, comunicazione, recovery
GRC Specialist (Governance, Risk, Compliance)	Gestione normativa e strategica	GDPR, ISO 27001, audit
Cloud Security Architect	Protezione ambienti cloud	AWS/Azure security, IAM, DevSecOps
AI Security Analyst	Difesa contro minacce AI-driven	ML adversarial defense, anomaly detection
OT Security Specialist	Sicurezza in ambienti industriali	SCADA, ICS, segmentazione OT
CISO / Security Manager	Direzione strategica della sicurezza	Leadership, budgeting, policy

Le principali certificazioni sono naturalmente della partita: CISSP, CEH, CISM, CompTIA Security+, OSCP, Cisco, AWS, Microsoft. Università e ITS stanno ampliando i corsi in cybersecurity applicata, anche con focus su AI e Green ICT e attenzione formativa anche in azienda per le soft skills (comunicazione, problem solving, pensiero critico) che sono sempre più valorizzate.

Tutti i maggiori attori del settore tecnologico, Fortinet, Cisco, Checkpoint, PaloAlto e via discorrendo, sicuramente saranno in campo.

I ruoli in crescita e specializzazioni richieste sono molteplici:Cyber Security Specialist/Analyst, SecurityArchitect, Chief Information Security Officer (CISO), Ethical Hacker/Penetration Tester, OT Security Specialist, Cloud Security Engineer.

@RIPRODUZIONE RISERVATA