L’Operational Summary dell’Acn ha archiviato il mese di luglio registrando 247 eventi, in flessione del 43% rispetto al mese di giugno, mentre gli incidenti ammontano a 63, nella media rispetto al semestre precedente.
“Il quadro emerso dal report di luglio 2025 del CSIRT Italia si inserisce in una tendenza che trova riscontro anche nei dati diffusi da altri CERT e società di sicurezza internazionali”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Ecco cosa fotografa nel dettaglio il report mensile dell’Agenzia per la Cybersicurezza Nazionale.
Indice degli argomenti
L’Operational Summary di Acn del mese di luglio: le cifre
Gli eventi, seppur in calo, hanno coinvolto 447 soggetti, in vari casi più volte. “Il calo degli eventi rispetto a giugno non va assolutamente letto come un segnale di riduzione del rischio: a livello globale, secondo Enisa e i Cert europei, la pressione delle campagne malevole rimane elevata“, secondo Paganini: “Ci troviamo dinanzi solo a oscillazioni mensili dovute alla stagionalità delle attività criminali e all’emergere di nuove vulnerabilità sfruttabili”.
La PA, sia centrale che locale, e l’ambito sanitario sono stati i settori maggiormente sotto attacco. “Anche Cisa e Microsoft Threat Intelligence hanno recentemente confermato che i settori pubblico e sanitario restano tra i più esposti, sia per il valore delle informazioni trattate sia per le limitate capacità di difesa, una dinamica che spiega perché ransomware e gruppi hacktivisti tendano a preferire tali obiettivi”, mette in guardia l’ingegner Paganini.
Gli attacchi ransomware, invece di colpire realtà con obbligo di notifica, hanno preferito colpire obiettivi meno strutturati e privi di capacità cyber. Segno che nelle aziende più grandi si è alzato il livello di cyber resilienza.
Tuttavia “il dato italiano sui 19 casi di ransomware rivendicati si inserisce in un quadro coerente con i trend globali: il rapporto Coveware e gli aggiornamenti di Unit 42 (Palo Alto Networks) evidenziano una crescente attenzione dei gruppi verso piccole e medie organizzazioni, meno presidiate ma con un impatto operativo significativo in caso di compromissione”, avverte Paganini: “Possiamo affermare che questo approccio ‘low-hanging fruit’ è diffuso a livello mondiale“.
Si contano 19 rivendicazioni di attacchi ransomware contro realtà tricolori, mentre gli attacchi DDoS sono stati 46.
“Sul fronte DDoS, i 46 episodi riportati si allineano con le osservazioni di aziende come Cloudflare, che segnalano come i gruppi hacktivisti filorussi abbiano intensificato le campagne contro enti governativi e infrastrutture critiche in Europa“, evidenzia Paganini.
CSIRT Italia, che nell’arco del mese ha condotto attività di monitoraggio, ha tuttavia scoperto un numero significativo di asset ancora esposti.
Primo semestre dell’anno: non abbassare la guardia
Infatti nei primi sei mesi dell’anno, l’Italia ha messo segno un incremento degli eventi e incidenti cyber.
Nel primo semestre l’Operational summery semestrale ha registrato 1.549 eventi cyber, in crescita del 53% rispetto al primo semestre dell’anno scorso.
Di questi, 346 sono stati incidenti di cui è stato confermato l’impatto, quasi il doppio (+98%) rispetto all’anno precedente.
Vulnerabilità e vettori d’attacco
Posta elettronica, exploit di vulnerabilità e sfruttamento di account validi sono i vettori di attacco più gettonati a luglio.
Le nuove CVE si attestano a 3.937 vulnerabilità, in forte crescita rispetto al mese di giugno (142). “Particolarmente rilevante è il dato sulle vulnerabilità: le quasi quattro mila CVE pubblicate a luglio confermano il ritmo record del 2025, con una crescita costante di PoC pubblici che accorciano i tempi di weaponization“.
Di quelle segnalate, 606 (45 in più) mostrano almeno un Proof of Concept (PoC). Il report dell’Acn ha rilevato lo sfruttamento attivo per 9 CVE, stabile (+3) rispetto a giugno.
Comunicazioni dirette nell’Operational summary di Acn a luglio
Le comunicazioni dirette ad amministrazioni ed aziende italiane, ad opera del CSIRT Italia, per la segnalazione di eventuali compromissioni o fattori di rischio, sono state 7.633 nel mese di luglio 2025.
La crescita è di circa un migliaio rispetto a giugno. “Il numero elevato di comunicazioni di rischio conferma la centralità della condivisione informativa come strumento di difesa. Invece i trend globali sottolineano che la resilienza dipenderà sempre più dalla rapidità di patching e dall’adozione di pratiche di cyber hygiene diffuse, soprattutto nei settori più fragili”, avverte Paganini.
Il caso SharePoint
Le vulnerabilità in Microsoft SharePoint, per cui sono state spedite allerte a più di 1.500 soggetti, giustificano il rilevante aumento di segnalazioni a luglio.
“Il focus su Microsoft SharePoint come vettore di rischio in Italia”, spiega Paganini, “trova riscontro anche a livello internazionale: diversi CERT hanno emesso alert analoghi, segnalando exploit attivi contro questa piattaforma molto diffusa”.
Prospettive future
Il grande assente nel docunmento dell’Acn è l’offensiva basata sull’intelligenza artificiale. “Interessante come nel rapporto non vi sia ancora riferimento ad attacchi che in qualche modo sono coadiuvati dall’utilizzo di intelligenza artificiale. Abbiamo infatti appreso della crescente incidenza di minacce AI-driven su scala mondiale, che per ora sembrano non interessare le nostre infrastrutture”, mette in guardia Paganini, avvisando le aziende a prepararsi ad affrontare le nuove tendenze.
Infine, “nel complesso”, conclude Paganini, “il report CSIRT Italia fotografa un Paese che, pur non registrando un incremento lineare mese su mese, è parte di uno scenario globale in cui l’esposizione alle minacce cresce in volume e sofisticazione”.
