Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

i dati di acn

Quando la resilienza funziona: più attacchi DDoS, ma impatto minore

Home Cybersecurity nazionale
Indirizzo copiato

Mostrano un netto miglioramento i dati dell’ACN sull’incidenza degli attacchi DDoS confrontati con i tempi di disservizio e la quantificazione dei danni. Ciò testimonia l’efficacia delle azioni di prevenzione e protezione messa in campo per aumentare la resilienza complessiva del sistema Italia

Pubblicato il 17 lug 2025
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

Determinazione dell’ACN: i chiarimenti per i soggetti in perimetro NIS 2

Senza voler sfidare nessuno bisogna riconoscere a ‘Cesare quel che è di Cesare’: l’innalzamento nazionale del livello di resilienza, mostra una tendenza positiva che giustifica un cauto ottimismo. È quanto si evince dai dati forniti da ACN direttamente alla nostra redazione lo scorso 15 luglio.

La strada intrapresa dalle maggiori organizzazioni italiane, complici le normative (NIS2, Legge 90, normative europee), i fondi del PNRR e le campagne di informazione e formazione, restituiscono gli effetti attesi: una capacità migliorata nella prevenzione e una migliore reazione agli incidenti DDoS che si traduce in una migliore mitigazione, riduzione dei tempi di disservizio e minore entità dei danni.

Come sempre nella sicurezza informatica sembra essere più importante la notizia della riuscita di un attacco, mentre l’efficacia delle azioni difensive raramente viene segnalata perché percepita e giudicata come scontata.

Tuttavia, è importante sottolineare il momento in cui si esce dall’emergenza e si entra in una fase di ‘normale amministrazione’ con un approccio strutturato ai rischi e una protezione preventiva in atto.

Operazione Eastwood contro NoName057(16): così l’Europa ha fermato gli attacchi DDoS pro-russi

Dati sui DDoS ieri: emergenza e preoccupazione

Molti degli ‘addetti ai lavori’ della cyber security ricorderanno come, in corrispondenza dell’avvio del confitto russo-ucraino, si siano verificati sul territorio nazionale italiano ondate di campagne di attacco di negazione distribuita del servizio (Distributed Denial of Service, DDoS) che avevano richiesto un innalzamento dell’allerta nazionale a livello ‘ALTO’.

Quegli stessi attacchi avevano causato disservizi ai siti governativi o a grandi organizzazioni, con risonanza nelle cronache giornaliere, preoccupazione diffusa, ed avevano richiesto al Cyber Security Incident Response Team (CSIRT) ACN l’emissione di specifici bollettini informativi e naturalmente l’attuazione di un supporto operativo per ogni entità colpita per riportare la situazione alla normalità.

Dati sui DDoS oggi: minori disservizi e danneggiamenti

Già nell’ultima edizione della Relazione al Parlamento di ACN si rendeva evidente, in tema attacchi DDoS, come dei “519 attacchi censiti effettuati da attivisti, solo il 15% aveva prodotto disservizi misurabili di carattere temporaneo (tipicamente circa un’ora di irraggiungibilità della risorsa attaccata), mentre nei restanti casi non sono stati rilevati impatti”.

Cyber security, com’è messa l’italia nel 2025: la risposta nei dati Anitec Assinform

I dati forniti alla nostra redazione dall’ACN il 15 luglio evidenziano la crescita di incidenza degli attacchi DDoS ma anche minori disservizi.

In particolare, è stato osservato “un aumento del’ 77% nel 1° semestre 2025 con 598 attacchi rispetto ai 336 del 1° semestre 2024. Tali campagne di hacktivism, molto intense tra dicembre 2024 e febbraio 2025, hanno subito una progressiva attenuazione nei mesi successivi, per poi ripresentarsi alla fine del semestre.

La campagna avvenuta a giugno a opera di attori filorussi è durata 13 giorni di seguito, interessando con 275 attacchi DDoS un totale di 124 soggetti appartenenti a diversi settori”.

Inoltre, “in vista della visita del presidente ucraino Volodymyr Zelensky, per la Conferenza internazionale sulla ricostruzione dell’Ucraina a Roma, il CSIRT nazionale ha preallertato, giorni prima in vista della visita di tutti i soggetti italiani della propria constituency”.

Nel lasso temporale di osservazione a cui i dati si riferiscono, il tempo medio di risposta (MTTR) si è abbassato e gli impatti sono stati mitigati rendendo i disservizi minimi sui soggetti italiani. “In questo semestre, alla stregua del 2024, solo il 13% degli attacchi ha causato impatti misurabili (ovvero disservizi transienti per gli utenti dei portali attaccati tipicamente della durata di qualche ora)”.

I soggetti colpiti sono stati supportati e guidati dalle “attività di allertamento del CSIRT Italia, che comunica tempestivamente contromisure ai soggetti interessati”, ovvero “comunicazioni di allertamento contenenti una serie di contromisure specifiche per la mitigazione dell’attacco in corso.

Nei casi più complessi supporta direttamente i soggetti attaccati, nella concreta adozione delle idonee misure di contenimento e mitigazione della minaccia, monitorando costantemente l’evoluzione degli attacchi”.

Su questi tipi di interventi sono stati registrati “645 comunicazioni inviate da ACN contenenti mitigazioni specifiche per il tipo di DDoS nel 2024, 559 nei primi 6 mesi del 2025” e “52 attività di supporto diretto degli operatori ACN nel 2024 per DDoS; 38 nei primi 6 mesi del 2025”.

Un ulteriore indizio della maggior efficacia di risposta viene dal cambiamento di target degli avversati digitali che hanno attuato un “cambio di strategia con la finalità di ottenere qualche concreto risultato e giustificare la rivendicazione dell’attacco, indirizzando le proprie campagne nei confronti di soggetti meno strutturati quali ad esempio pubbliche amministrazioni locali (provincie e comuni) nonché società di trasporto pubblico locale, o portali web secondari dei soggetti più critici (nell’ultima campagna DDoS, gli attacchi hanno interessato per il 50% soggetti meno strutturati e portali web secondari)”.

Di conseguenza, gli attacchi DDoS avviati dallo scorso 14 luglio e rivendicati puntualmente il 15 luglio da hacker Noname057(16), attori verosimilmente affiliati al blocco russo, sebbene riportino impatti, sono da considerarsi non veritieri.

Il commento di ACN sottolinea come “il minor impatto su interruzioni e malfunzionamenti dei siti web attaccati, sia frutto di un complessivo e sensibile miglioramento nella capacità di risposta del Paese e dimostra maggiore maturità e consapevolezza da parte delle imprese e delle pubbliche amministrazioni ma anche dell’impiego delle risorse Pnrr che ACN ha messo a disposizione per difendersi ” (fonte: Ansa).

Operazione Eastwood per bloccare gruppo NoName057(16)

Si è svolta dal 14 al 17 luglio l’operazione congiunta fra Europol ed Eurojust denominata Eastwood mirata a interrompere le attività del gruppo di attacco filorusso NOname057(16) e che ha portato a diversi arresti in europa: 2 arresti (1 arresto preliminare in Francia e 1 in Spagna), 7 mandati di arresto emessi (6 dalla Germania e 1 dalla Spagna).

Fanno parte dell’operazione anche diverse altre attività legate al contrasto dell’attività criminale: 24 perquisizioni domiciliari (2 in Repubblica Ceca, 1 in Francia, 3 in Germania, 5 in Italia, 12 in Spagna, 1 in Polonia); 13 persone interrogate (2 in Germania, 1 in Francia, 4 in Italia, 1 in Polonia, 5 in Spagna); oltre 1.000 sostenitori, di cui 15 amministratori, sono stati informati della loro responsabilità legale tramite un’app di messaggistica.

Sul fronte delle infrastrutture (botnet, ovvero reti di computer zombie) sono oltre 100 i server interrotti in tutto il mondo.

L’operazione ha visto anche il contributo fornito dalla polizia italiana unitamente e congiuntamente al contributo di diversi paesi: Repubblica Ceca: Agenzia Nazionale Antiterrorismo, Estremismo e Criminalità Informatica; Finlandia – Ufficio Investigativo Nazionale (NBI); Francia – Unità Nazionale per la Sicurezza Informatica della Gendarmeria Nazionale, Procura della Repubblica di Parigi – Giurisdizione Nazionale contro la Criminalità Organizzata (JUNALCO); Germania – Ufficio Federale di Polizia Criminale (Bundeskriminalamt), Procura Generale di Francoforte sul Meno – Centro per la Criminalità Informatica; Lituania – Ufficio di Polizia Criminale Lituano, Paesi Bassi – Polizia Nazionale (Politie), Procura della Repubblica; Polonia – Ufficio Centrale per la Criminalità Informatica; Spagna – Guardia Civil, Polizia Nazionale (Policía Nacional); Svezia – Polisen; Svizzera – Ufficio Federale di Polizia fedpol e Ufficio del Procuratore Generale della Svizzera (OAG); USA – Ufficio Investigativo Federale.

Allertamento preventivo e monitoraggio continuo

Le azioni di predisposizione e preparazione alla minaccia passano sempre per una verifica su base continuativa degli asset e delle vulnerabilità.

“Nel primo semestre 2025 il CSIRT Italia ha inviato 23.144 comunicazioni dirette ai fini di allertamento preventivo, a seguito dell’individuazione di asset compromessi, vulnerabili o esposti in maniera inopportuna, o per altri fattori di rischio, nei confronti dei soggetti della constituency nazionale. Nel primo semestre 2024 le comunicazioni inviate a tal scopo furono 21.224. Oltre alle comunicazioni dirette, sono stati pubblicati 289 sul sito del CSIRT Italia, relativi a vulnerabilità e fattori di rischio, corredati dalle necessarie contromisure”.

Come si può facilmente osservare il numero delle comunicazioni è diminuito a testimonianza di una ridotta numerosità di asset esposti al rischio, segnale che può indicare un’aumentata capacità di chiusura delle vulnerabilità e riduzione preventiva dei rischi.

In tema di monitoraggio continuativo e proattivo delle eventuali criticità, che possono essere sfruttate, o che sono già in corso di sfruttamento per segnalazione tempestiva ai soggetti potenziali vittime, i CSIRT ACN emette alert specifici e diretti o bollettini informativi.

Altri dati da ACN evidenziano segnalazioni sul primo semestre 2025 di “1.530 indirizzi web di phishing, ovvero pagine web artefatte, contenenti riferimenti espliciti o simili a pagine web di circa 201 soggetti pubblici o privati della constituency, presumibilmente utilizzate per ingannare gli utenti e carpire credenziali; 4.408 dispositivi o servizi IT potenzialmente compromessi, ovvero per i quali è stato rilevato un comportamento associabile a un’attività malevola in corso. Relativamente a tali dispositivi o servizi sono state inviate 384 comunicazioni, di cui il 12,5% verso soggetti pubblici e 87,5% verso soggetti privati; 18.516 dispositivi o servizi IT che esponevano potenziali rischi, come ad esempio versioni di software vulnerabili, per i quali sono state inviate 2.239 comunicazioni. Di queste il 23% verso soggetti pubblici e 77% verso soggetti privati”.

Contromisure alla minaccia DDoS

Per approfondire la minaccia degli attacchi DDoS, le diverse tipologie di attacchi, le tecniche e le tattiche adottate dai cybercriminali, ma anche per seguire le appropriate raccomandazioni e attuare le contromisure il CSIRT ACN ha emesso una rapporto specifico sui DDoS che “presenta anche un modello semplificato di riferimento, utile per identificare gli asset più esposti e orientare con maggiore precisione le strategie di mitigazione”.

“In definitiva”, commentano dal CSIRT operazioni, “è possibile affermare che tali campagne di attacchi hanno impatti principalmente mediatici, cosa che supporta la narrativa russa, ma non rappresenta poi, l’effettiva natura dei fatti”.

@RIPRODUZIONE RISERVATA

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Aggiornamenti Android

  • sicurezza mobile

    Aggiornamenti Android gennaio 2025, corrette 38 vulnerabilità: aggiorniamo i dispositivi

    07 Gen 2025

    di Paolo Tarsitano

    Condividi
  • Contratti di lavoro e privacy

  • privacy

    I contratti di lavoro devono essere disapplicati se violano il GDPR: la sentenza CGUE

    21 Gen 2025

    di Chiara Ponti

    Condividi
  • Usa viaggi smartphone

  • la guida

    Viaggi negli Usa, alto rischio per esperti cyber: ecco che fare con lo smartphone per non essere respinti

    04 Lug 2025

    di Alessandro Longo

    Condividi