L’ACN (Agenzia per la Cybersicurezza Nazionale) ha archiviato il secondo semestre del 2025, registrando un aumento degli eventi cyber, mentre calano gli incidenti con impatto confermato.
“Il dato più interessante è il mix: nel II semestre 2025 gli eventi aumentano, ma gli incidenti con impatto confermato diminuiscono. Bene: significa che qualcosa, nella capacità di rilevazione e nel triage, sta finalmente funzionando. Però occhio alla lettura da slide aziendale: non è ‘siamo più sicuri’, ma ‘stiamo diventando un po’ meno disordinati’”, commenta Sandro Sana, Ethical Hacker e membro del comitato scientifico Cyber 4.0.
Secondo Dario Fadda, esperto di cyber sicurezza, “il report evidenzia un aumento del 30% degli eventi cyber, trainati da DDoS hacktivisti“.
Indice degli argomenti
Acn: DDoS hacktivisti protagonisti nel secondo semestre del 2025
Nella seconda metà del 2025, si attestano a quota 1.253 gli eventi cyber (+30% rispetto allo stesso semestre del 2024). Invece, gli incidenti con impatto confermato sono calati a 304 casi (-25%). La controtendenza denota misure di prevenzione più efficaci e risposte dal sistema Paese.
I settori più colpiti rimangono Pubblica Amministrazione, centrale e locale e il Telco. Nel pubblico, le segnalazioni aumentano per le campagne DDoS con effetti irrilevanti (non raggiunge il 10% la quota degli attacchi che provoca disservizi, in genere temporanei). Aumentano però anche i dati sensibili individuati su piattaforme illegali di scambio.
“Serve più focus su patching e zero-trust nei settori PA e manifatturiero“, avverte Dario Fadda.
A livello locale, inoltre, i fornitori di servizi web compromessi causano un effetto domino, coinvolgendo a catena più amministrazioni, in alcuni casi, simultaneamente.
“Una parte dell’aumento è rumore operativo (DDoS/hacktivism spesso a impatto limitato), mentre la pressione vera resta sempre lì dove fa male e dove continuiamo a inciampare: e-mail, credenziali valide rubate e vulnerabilità note lasciate a marcire“, sottolinea Sandro Sana.
Ransomware e phishing
Gli attacchi ransomware sono fermoi al palo rispetto al secondo semestre 2024: 54 casi nel secondo semestre 2025 contro i 48 dell’anno precedente. Nel mirino sono il manifatturiero, vendita al dettaglio e settore tecnologico, con impatto soprattutto sulle Pmi, dove le infrastrutture di sicurezza risultano modeste.
“Preoccupa la persistenza di ransomware su PMI (54 casi stabili che dall’osservatorio Ransomfeed.it si sono tramutati in 85 rivendicazioni per il periodo di osservazione) e vulnerabilità su vendor come Citrix e Fortinet, spesso sfruttate per credenziali compromesse”, mette in guardia Dario Fadda.
Anche il phishing non cessa di diffondersi: 927 sono gli URL malevoli segnalati da ACN, contro i 579 del 2024.
Una campagna mirata contro una struttura ospedaliera, presa di mira da oltre 3.000 email fraudolente, è risultato l’episodio più critico del semestre.
Inoltre, i casi di esposizione di dati sono giunti a 232 eventi nel periodo in esame. I picchi sono dovuti all’illecita diffusione di credenziali compromesse e a violazioni che hanno visto il coinvolgimento di università, fornitori digitali e servizi finanziari.
Il vantaggio dell’attività proattiva del Csirt
L’aumento degli eventi è da attribuire al rafforzamento dell’attività di monitoraggio del Csirt Italia, all nuovo quadro normativo 2024 entrato in vigore e ad alcune tipologie di minacce come il DDoS che spesso non comportano rilevanti interruzioni operative, grazie a misure difensive più strutturate rispetto al passato.
“Personalmente, apprezzo come lo sforzo di monitoraggio proattivo (oltre 23.000 comunicazioni) stia mitigando impatti sistemici”, avverte Dario Fadda.
In ambito prevenzione, CSIRT Italia ha spedito 5.205 comunicazioni di allerta preventiva per indicare ai player italiani criticità venute a galla su piattaforme note. I soggetti che applicano tempestivamente le contromisure, permettono di prevenire compromissioni e violazioni da parte degli hacker.
“Il passaggio chiave”, secondo Sandro Sana, “è l’attività proattiva del CSIRT: migliaia di comunicazioni verso soggetti con sistemi a rischio. Tradotto: vi stanno dicendo prima dove state per farvi male. Se quelle segnalazioni finiscono nel limbo tra ‘apri ticket’ e ‘ci penso quando ho tempo’, non è cyber-sfortuna: è governance che non c’è. E nel 2026, questo non è più un alibi”.
“I dati confermano che la resilienza italiana cresce, ma l’hacktivism geopolitico resta una wildcard imprevedibile, per questo motivo l’osservatorio Ransomfeed si è ampliato anche con il monitoraggio dei target della botnet DDoSia, prima che diventino attacchi reali (libero accesso su ddosia.rfeed.it), operazioni che in periodi con questo di inizio olimpiadi Milano-Cortina, non possono sfuggire al controllo”, conclude Dario Fadda.
