La fine dell’anno 2025 e l’inizio del 2026 rappresentano quella cuspide temporale in cui hanno luogo non solo le festività, ma anche i bilanci di valutazione sulle minacce dell’anno trascorso e sulle tendenze di attacco per il nuovo anno. L’esercizio non deve essere una sterile lettura.
La valutazione critica dei fatti di sicurezza avvenuti e delle tendenze future, dovrebbe essere rapportata alle capacità di difesa della propria organizzazione, per far emergere un eventuale divario di sicurezza e per pianificare quindi gli interventi 2026 capaci di colmare quel divario. Tutto naturalmente rapportato ai budget di sicurezza disponibili che proprio in questo momento dell’anno dovrebbero prendere forma.
Indice degli argomenti
Le minacce del 2025 e le previsioni 2026
Il documento ENISA (l’Agenzia dell’Ue per la cuber security) sullo stato della minaccia digitale “Enisa Threat Landscape 2025” è una delle principali fonti informative sia per la qualità informativa, sia per la metodologia di lavoro seguita.
L’edizione 2025 è anche più strategica delle precedenti edizioni perché propone nel capitolo 10.3 un set di raccomandazioni tecniche allineate ai framework MITRE ATT&CK che rispondono punto per punto alle tattiche, tecniche, procedure (TTPs) usate dai criminali negli attacchi.
Ovvero è illustrata “la copertura tecnica dei comportamenti degli avversari durante l’intero ciclo di vita dell’attacco, mappati direttamente sugli ID MITRE ATT&CK per fornire una base operativa …omissis…e per la copertura delle tecniche di attacco più comuni allineando le strategie difensive con le relative misure di mitigazione”.
La minaccia ransomware
Dal rapporto ENISA che traccia 4875 casi di incidente tra il 1° luglio 2024 a giugno 2025 si apprendono le principali tendenze del 2025, fra le quali il ransomware è purtroppo e sempre il padrone principale della scena con cambi di tattiche: “i criminali informatici hanno risposto alle azioni delle forze dell’ordine decentralizzando le operazioni, adottando tattiche estorsive aggressive e capitalizzando sui timori di non conformità normativa.
La continua proliferazione di modelli ransomware-as-a-service, fughe di notizie da parte dei costruttori e i servizi di broker di accesso hanno ulteriormente abbassato le barriere all’ingresso e diversificato le famiglie di ransomware, alimentando un ecosistema criminale professionalizzato e resiliente”.
Il ransomware è stato la minaccia preferita sia per il settore del trasporto aereo e merci, sia per le infrastrutture ed i servizi digitali.
Sull’incidenza del ransomware è possibile approfondire anche con lo studio specifico pubblicato da Semperis dal titolo “2025 Ransomware Holiday Risk Report” che evidenzia una maggiore incidenza durante le feste, i weekend, i fine settimana, o gli eventi aziendali rilevanti (fusioni, acquisizioni, IPO e riorganizzazioni del personale) in cui si assiste ad un ridotto numero di addetti di cyber security.
Il phishing
Secondo lo studio ENISA, la tecnica del phishing è un ‘grande classico’ per l’avvio di una catena di attacco (kill chain). “Il phishing rimane il vettore di intrusione dominante (60%) e si sta evolvendo nelle campagne su larga scala. La disponibilità di piattaforme di phishing-as-a-service dimostra l’industrializzazione delle operazioni di phishing, consentendo ad aggressori di ogni livello di competenza di lanciare campagne complesse”.
Ad aggravare questa situazione c’è anche l’adozione di sistemi di intelligenza artificiale (AI) per ottimizzare i successi dei tentativi di phishing. “L’intelligenza artificiale è diventata un elemento determinante nel panorama delle minacce. All’inizio del 2025, le campagne di phishing supportate dall’intelligenza artificiale rappresentavano oltre l’80% delle attività di ingegneria sociale osservate in tutto il mondo”.
Altri elementi di attenzione
Altri vettori di attacco preferenziali che completano l’analisi ENISA con le percentuali di incidenza riguardano: “lo sfruttamento delle vulnerabilità (21,3%) che rimane un vettore di intrusione prevalente, seguito dalle botnet (9,9%).
Le applicazioni dannose rappresentano l’8%, a dimostrazione del fatto che software e applicazioni compromessi o trojanizzati (trasformati in trojan, n.d.r.) continuano a svolgere un ruolo nelle intrusioni di sistema, mentre l’accesso non autorizzato da parte di minacce interne (0,8%) contribuisce a quote minori ma comunque rilevanti”.
Da segnalare, infine, anche l’aumento delle dipendenze digitali (l’uso di strumenti e oggetti pubblicamente disponibili quando presi di mira, causano una maggiore estensione del danno). “L’abuso delle dipendenze informatiche si è intensificato, come dimostrano le compromissioni nei repository open source, le estensioni dannose dei browser e le violazioni dei provider di servizi, amplificando il rischio in tutti gli ecosistemi digitali interconnessi”.
Analisi dei settori
Una speciale attenzione con tanto di pubblicazione dedicata, “ENISA Sectorial Threat Landscape – Public Administration” è stata riservata all’intero settore europeo della Pubblica Amministrazione (PA), particolarmente colpito con oltre il 38,2% degli incidenti rilevati.
Nel settore industriale è invece il rapporto Kaspersky ICS CERT a fornire indicazioni sulle tendenze di attacco passate e future: “la percentuale di computer legati a sistemi di controllo industriali (Industrial Control Systems-ICS) attaccati da malware è rimasta elevata, attestandosi intorno al 21,9% nel primo trimestre 2025, per poi scendere al 20% nel terzo trimestre.
Massiccio il “ricorso ad attacchi alla supply chain e alle relazioni di fiducia, sfruttando fornitori locali, collaboratori esterni e provider di servizi mission-critical come gli operatori di telecomunicazioni, per aggirare i tradizionali sistemi di difesa”.
Anche l’Operational Technology è stata colpita. “Si è osservata un’ulteriore crescita degli attacchi alle apparecchiature OT connesse a Internet, in particolare ai siti remoti che si affidano a firewall OT non progettati per resistere alle moderne minacce provenienti da Internet”.
Sul fronte industriale il 2026 potrebbe essere caratterizzato un ulteriore aumento degli incidenti che causeranno interruzioni nella logistica globale e nelle catene di fornitura di alta tecnologia (supply chain high-tech) e un aumento degli attacchi contro obiettivi non tradizionali come i sistemi di trasporto intelligenti, le navi, i treni, i mezzi di trasporto pubblico, gli smart building e le comunicazioni satellitari.
Le operazioni basate su agent AI e i framework di orchestrazione autonoma dannosa abbasseranno le barriere per le campagne industriali su larga scala. (Fonte rapporto ICS CERT).
L’AI come moltiplicatore e target
Anche il Microsoft Microsoft Digital Defense Report 2025 conferma il cambio di passo della minaccia a causa dell’impiego dell’IA generativa per “aumento della scalabilità dell’ingegneria sociale, automazione del movimento laterale, individuazione delle vulnerabilità ed elusione in tempo reale dei controlli di sicurezza”.
In aggiunta, gli agenti basati su AI possono automatizzare il malware, adattando le tattiche alle condizioni di difesa preventiva basata sul comportamento che trovano. Infine, i sistemi di AI della difesa sono diventati essi stessi target di attacco con “l’iniezione tempestiva e data poisoning (avvelenamento dei dati, n.d.r.) per attaccare sia i modelli che i sistemi” con conseguenze rovinose per i danni materiali e di reputazione che ne conseguono.
Fra le campagne di attacco spiccano secondo il report, le “catene di attacco multifase che combinano tattiche e tecniche come l’ingegneria sociale e gli exploit tecnici”, come nell’esempio di ClickFix, “una tecnica di ingegneria sociale che induce gli utenti a eseguire autonomamente codice dannoso, aggirando le tradizionali protezioni anti-phishing”.
L’AI come “moltiplicatore di rapidità e precisione di attacco è utilizzato per gli attacchi ransomware e per i furti di identità digitale mediante tecniche avanzate di “di session hijacking, furto di credenziali e bypass dell’autenticazione multi-fattore”. Stesso dicasi per gli attacchi di ingegneria sociale alla base di frodi basate su deepfake e intelligenza artificiale generativa. (Fonte ClearSkies)
Un’attenzione particolare del rapporto Microsoft è dedicata alle minacce infostealer (software malevoli che puntano a rubare informazioni e preferibilmente credenziali di accesso). “Gli infostealer rappresentano un modo di raccogliere credenziali e token da vendere sul dark web. Le attività successive da parte degli acquirenti di credenziali compromesse possono includere ransomware, esfiltrazione di dati e/o estorsione”.
La conseguenza più immediata è che le organizzazioni che subiscono incidenti da infostealer hanno una maggiore probabilità di essere un obiettivo per altre violazioni ed hanno quindi un livello di rischio aumentato.
Osservazioni per la difesa 2026
Simone Pezzoli,_EMEA Chief Security Advisor di Microsoft, prioritizza alcune raccomandazioni per i benefici a cascata che ne derivano: “Se dovessi scegliere una sola raccomandazione tra le dieci evidenziate nel Microsoft Digital Defense Report, punterei sulla gestione delle identità e degli accessi. È il fondamento su cui poggia ogni altra misura di sicurezza. Senza un controllo rigoroso su chi accede e con quali privilegi, su autenticazione multifattore (MFA) e sul principio del least privilege, qualsiasi investimento successivo, rischia di essere inefficace. È il primo passo per ridurre il rischio di compromissione iniziale, che è la porta d’ingresso per la maggior parte degli attacchi”.
Tuttavia poiché i Board sembrano sempre impazienti in termini di Ritorno di Investimento (ROI) delle iniziative di sicurezza, il suggerimento del manager è anche relativo alla pianificazioni di interventi che possano portare benefici in tempi brevi, i cosiddetti quick win. “Per generare impatto immediato e accompagnare l’azienda nel suo percorso verso la sicurezza – spiega Pezzoli – partirei da azioni semplici ma decisive: abilitare la Multi Factor Authentication su tutti i servizi, accelerare il patch management, avviare campagne di awareness mirate e attivare un monitoraggio proattivo. Integrate in una strategia olistica con obiettivi misurabili queste azioni dimostrano sin da subito il valore dell’approccio Zero Trust e gettano le fondamenta di una cultura della sicurezza orientata al lungo termine”.
Sul fronte della sicurezza OT è Evgeny Goncharov, Head of Kaspersky ICS CERT, che suggerisce di attuare in modo sistematico le pratiche di sicurezza: “Valutazione continua delle vulnerabilità e un sistema di triage come base per processi efficaci di gestione delle vulnerabilità, eseguire regolarmente aggiornamenti e patch per i componenti chiave della rete OT aziendale, utilizzare soluzioni EDR, investire in formazione dedicata alla sicurezza OT per gli addetti alla sicurezza”.
Investire in resilienza
Quando i Board chiedono il ROI delle iniziative di Cybersecurity per la resilienza o sembrano non capire il beneficio a lungo termine degli interventi per la sicurezza è forse il momento giusto per integrare la resilienza cyber nella governance aziendale e nei processi decisionali, superando l’idea che la sicurezza sia solo una questione tecnologica.
Per Simone Pezzoli la risposta ai board in questi casi è basata sul concetto per cui “la sicurezza non è un costo, ma piuttosto un abilitatore di business. Ogni euro investito oggi riduce il rischio di breach che può costare dieci o venti volte di più. Pensiamo a un attacco ransomware: il danno medio si misura in milioni tra downtime e ripristino. Investire in segmentazione e backup sicuri costa una frazione e garantisce continuità operativa e fiducia del mercato. La resilienza è il vero ritorno sull’investimento”.
Tanto che investire in resilienza apporta risultati misurabili. “Questa non è solo teoria” spiega, “la Microsoft Secure Future Initiative dimostra come investire in resilienza porti risultati misurabili nel tempo. Basata sui principi Secure-by-Design, Secure-by-Default e Secure Operations, l’iniziativa, allineata al framework NIST, ha già prodotto risultati concreti: il 99,6% di adozione di MFA resistente al phishing, oltre il 98% dell’infrastruttura tracciata con log centralizzati, la rimozione di centinaia di migliaia di sistemi e app obsolete per ridurre la superficie d’attacco e un’accelerazione del 72% nei tempi di mitigazione grazie all’uso dell’intelligenza artificiale” quindi, conclude, “per un board, questi numeri rappresentano un vero ritorno sull’investimento: meno downtime, meno costi di risposta agli incidenti, maggiore conformità e soprattutto più fiducia da parte di clienti e stakeholder”.
Anche Eleftherios Antoniades, CTO & Founder di ClearSkies, sottolinea come “la cyber security debba diventare un tema di continuità del business e di responsabilità a livello di board. Il 70% delle organizzazioni colpite da una violazione impiega oltre 100 giorni per recuperare la piena operatività, con un impatto devastante sul business e sulla reputazione” e aggiunge l’esigenza di un vero cambio di approccio: “In Italia molte organizzazioni sono ancora concentrate su una difesa reattiva, mentre gli attaccanti hanno già adottato modelli completamente automatizzati e l’IA. Il prossimo anno il divario tra la velocità dell’attacco e quella della difesa rischia di diventare insostenibile”. Il suo suggerimento è “adottare un modello human-led e AI-empowered, in cui l’intelligenza artificiale operi alla velocità delle macchine e le persone mantengano il controllo strategico e la governance”.
