L’ACN (Agenzia per la Cybersicurezza Nazionale) ha rilasciato la relazione annuale al Parlamento 2024 che fotografa l’Italia bersaglio di attacchi di tipo ransomware. Anche il rapporto Clusit 2025 conferma che il ransomware continua a dominare la scena.
Con 165 eventi cyber al mese, gestititi dal CSIRT Italia, il nostro Paese ha registrato un aumento degli eventi del 40% e un incremento degli incidenti che sfiora il 90%. “La Relazione 2024 dell’ACN evidenzia dunque un netto peggioramento del panorama cyber nazionale”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
“Tra i diversi temi trattati mi sembra di particolare importanza quello sugli attacchi ransomware. A tal proposito, la Relazione analizza ampiamente tale problematica. Infatti, parlare di ransomware oggi significa parlare di continuità operativa, protezione del know-how e tenuta economica”, precisa Flavia Bavetta, Associate del Dipartimento Cybersecurity, Privacy & Space Economy Law dello studio legale Gianni & Origoni.
“La Relazione mostra chiaramente la crescita preoccupante della minaccia cyber”, aggiunge Pierguido Iezzi, Cyber BU Director di Maticmind.
Ecco per quali motivi e come correre i ripari.
Indice degli argomenti
L’Italia nel mirino dei ransomware
Pmi manifatturiere, sanità, enti pubblici e servizi digitali sono i settori più nel mirino di attacchi ransomware.
L’Agenzia ha contato 198 eventi rilevanti di tipo ransomware, in aumento del 20% sull’anno precedente.
I gruppi che hanno preso come bersaglio l’Italia sono RansomHub (forte di 19 attacchi), Lockbit 3.0 (con 11 attacchi), 8Base (11) e Blackbasta (10).
“Questi dati sono in linea con quanto emerge anche dall’attività e analisi del Cyber Defence Center di Maticmind, che ha rilevato e analizzato un quadro di minacce estremamente complesso: più di 70 gang ransomware, 98 gruppi APT e 78 cellule hacktiviste attive già nei primi mesi del 2025”, sottolinea Pierguido Iezzi.
“Alla crescita numerica corrisponde un’evoluzione delle tecniche utilizzate dagli attaccanti: frequente impiego del Living off the Land (LotL), ovvero l’utilizzo di strumenti legittimi già presenti nei sistemi per rendere più difficile il rilevamento. Il breakout time (il tempo impiegato da un attaccante per spostarsi lateralmente nella rete dopo aver ottenuto un primo accesso) è sceso ormai a soli 30 minuti, mentre il dwell time (ovvero il tempo che trascorre dal primo accesso all’identificazione della minaccia) si è ridotto a circa 5 giorni (erano 24 pochi anni fa)”, evidenzia Iezzi.
ACN, i numeri della relazione annuale 2024
Nell’arco di dodici mesi, l’ACN ha spedito oltre 53.000 alert, a testimonianza dell’attività preziosa svolta dall’Agenzia guidata da Bruno Frattasi.
Ma “la risposta operativa dell’ACN, con decine di migliaia di segnalazioni e interventi diretti a supporto delle vittime, è stata importante ed essenziale, ma da sola non basta a colmare il divario tra le grandi organizzazioni e le Pmi. Il rischio concreto è quello di una diffusa cyber povertà, soprattutto tra le piccole e medie imprese che spesso non dispongono di risorse e competenze sufficienti per garantire una protezione efficace”, avverte Iezzi.
Su 1.979 eventi cyber gestiti dal CSIRT Italia, ben 573 incidenti hanno ricevuto conferma dell’impatto, “con un aumento del 40% degli eventi e quasi del 90% degli incidenti rispetto al 2023”, sottolinea Iezzi. Gli eventi rilevanti anno raggiunto quota 198.
“Numeri che confermano una pressione sempre più forte e diffusa sulla superficie digitale del Paese”, mette in guarda Iezzi.
“Questi dati sono la risultante di molteplici fattori, dall’aumentata complessità e persistenza delle minacce cibernetiche, alla completa assenza di un’adeguata postura di cyber sicurezza delle PMI italiane. Ritengo vadano letti con attenzione i dati forniti sull’impegno profuso dal CSIRT nazionale, in particolare in merito alle attività espletate per la gestione del crescente numero di eventi cyber. Nell’attuale contesto è facile prevedere la saturazione di questa struttura ai ritmi di crescita cui stiamo assistendo qualora non mutino le condizioni al contorno”, sottolinea Paganini.
“Gli attacchi non sono più episodi isolati, ma parte di una catena di valore criminale altamente specializzata, basata su modelli come il Ransomware-as-a-Service. La risposta non può essere solo tecnica, ma servono urgentemente strategie industriali e giuridiche integrate”, spiega Flavia Bavetta.
Come correre ai ripari
Per difendersi, serve un approccio integrato: segmentazione di rete, patching continuo, monitoraggio in real time, backup resilienti e una forte cultura della sicurezza a tutti i livelli aziendali.
“Il recepimento della Direttiva NIS 2 e l’adozione della Legge 90/2024 sono passi fondamentali, ma insufficienti senza una vera integrazione della cultura della sicurezza in ogni ambito, pubblico e privato. È necessario aumentare la consapevolezza nella minaccia, garantendo governance solida e investimenti strutturali per proteggere dati, servizi e garantire la sovranità digitale“, suggerisce Paganini.
In particolare, occorre una governance cyber resiliente in cui giocano un ruolo cruciale consapevolezza, formazione e simulazioni.
“In questo scenario, il ruolo centrale dell’ACN rimane essenziale, ma per essere davvero efficace deve ricevere un sostegno concreto da parte di tutto l’ecosistema nazionale. Non sono più sufficienti normative e coordinamento istituzionale: occorrono investimenti mirati per rafforzare direttamente l’attività dell’ACN, insieme ad agevolazioni e strumenti di supporto finanziario specificamente rivolti alle Pmi. In questo contesto diventa cruciale la collaborazione tra settore pubblico, imprese private e associazionismo italiano, vero motore per affrontare e superare concretamente il crescente rischio della cyber povertà“, conclude Pierguido Iezzi.
Tuttavia, anche questo non è sufficiente. Infatti, “in questo momento così critico per il sistema Paese sul fronte cyber, occorre evitare ingerenze politiche. In un momento storico in cui la minaccia evolve rapidamente e insidia le nostre infrastrutture come mai prima d’ora, la politica rischia di diventare la principale minaccia al lavoro della nostra agenzia”, conclude Paganini con una riflessione.
Le attività dell’ACN nel 2024
Consapevole dell’anello debole del fattore umano, l’Agenzia ha destinato tempo ed energie per aumentare le competenze e la formazione cyber dei lavoratori di domani, impegnandosi ad aumentare la security awareness del personale già impiegato e nella diffusione della consapevolezza in tutta la cittadinanza, così come in settori strategici come sanità e giustizia.
Inoltre, l’Agenzia ha compiuto interventi a supporto delle vittime in più occasioni, per ripristinare servizi spesso essenziali per la collettività, oltre ad offrire un valido contributo al Piano nazionale di ripresa e resilienza (PNRR).
L’ACN è infatti in prima linea nell’attuare molteplici progettualità, dopo aver centrato tutti gli obiettivi prefissati e assegnato la quasi totalità dei fondi PNRR di competenza, pari a 621 milioni di euro per iniziative dedicatei alla PA e ad operatori economici.
A queste occorre inoltre aggiungere i progetti destiunati al sistema produttivo, spaziando dallo sviluppo delle startup con alto potenziale di scalabilità, tra cui il Cyber innovation network, all’investimento da oltre 400 milioni di euro (cofinanziati dal governo italiano e dalla Commissione europea) per installare, all’interno del progetto “IT4LIA AI Factory”, un supercalcolatore ottimizzato per l’IA che offrirà i propri servizi ad aziende e ricercatori.
Grazie a un approccio coordinato e multilivello, nell’ambito della Strategia nazionale di cybersicurezza, l’ACN ha sostenuto l’avvio di 69 delle 82 misure, attraverso il coordinamento e il monitoraggio dell’attribuzione di complessivi 347 milioni di euro, a valere sui fondi nazionali ad hoc.
Nel 2024, l’ACN ha rafforzato la propria proiezione internazionale, interagendo coi propri partner, sia a livello europeo che globale.
“Un plauso va infatti al lavoro svolto in ottica collaborazione internazionale da parte della nostra agenzia, in particolare alla costituzione del Gruppo di lavoro cyber in ambito G7 nell’anno della Presidenza italiana”, conclude Paganini.
