Gyala riconosciuta Sample Vendor nel documento “Emerging Tech: AI in CPS Security” di Gartner Leggi

Cybersecurity 2025:

Sei mesi che hanno ridisegnato la mappa globale del rischio

Nel primo semestre del 2025, lo scenario della cybersecurity ha subito una trasformazione profonda.: la frequenza e la sofisticazione degli attacchi informatici, soprattutto verso le infrastrutture critiche, hanno raggiunto livelli senza precedenti, obbligando  governi e aziende a livello globale a ridefinire le priorità strategiche

Una sfida che non riguarda solo la tecnologia, ma il modo in cui governi, imprese e società decidono di affrontare – o subire – il nuovo equilibrio digitale.

Di seguito, un’analisi delle principali tendenze, casi di studio ed evoluzioni tecniche osservati nei primi sei mesi dell’anno con uno sguardo a quanto è avvenuto nel mondo e poi con un focus sul mercato italiano.

Casi emblematici nel contesto internazionale

  • Attacco alla distribuzione alimentare (UNFI, USA): Nel giugno 2025, un attacco informatico ha colpito United Natural Foods Inc., fornitore primario della catena Whole Foods. L’hackeraggio ha paralizzato i sistemi di ordinazione elettronica, causando ritardi nella distribuzione e carenze nei supermercati del Nord America. L’evento ha messo in luce la vulnerabilità della filiera alimentare digitale e la dipendenza critica da singoli operatori.

  • Infrastrutture energetiche europee prese di mira: Il gruppo hacktivista di matrice russa Z-Pentest è salito alla ribalta con una serie di 38 attacchi a sistemi di controllo industriale (ICS) nel secondo trimestre, puntando soprattutto su infrastrutture energetiche di vari paesi europei. Queste azioni non solo hanno generato veri e propri blackout digitali, ma anche un impatto psicologico, con la pubblicazione online di video che documentavano la presa di controllo dei comandi industriali.

  • Attacco alla National Defense Corporation (USA): A marzo, il gruppo ransomware Interlock ha sottratto 4,2TB di dati sensibili alla National Defense Corporation, minacciando l’intera filiera della Difesa. Il leak, pubblicato sul dark web, ha esposto informazioni su forniture, logistica e approvvigionamenti bellici, mostrando come gli hacker ora puntino sempre più verso obiettivi strategici.

  • US Nuclear Weapons Agency compromessa: A luglio, la National Nuclear Security Administration degli Stati Uniti è stata violata tramite una vulnerabilità di Microsoft SharePoint. L’attacco, attribuito ad hacker sponsorizzati dalla Cina, ha portato all’accesso a informazioni sensibili relative alla sicurezza nucleare nazionale.

  • Singapore sotto attacco: Nel luglio 2025, un gruppo statale APT (Advanced Persistent Threat) è riuscito a infiltrarsi nelle infrastrutture critiche di Singapore, prendendo di mira settori come telecomunicazioni, energia e governo con operazioni di spionaggio informatico su larga scala.

Cosa ci insegnano questi attacchi

  • Nessun settore (energia, difesa, alimentare, governance…) è immune: il rischio digitale oggi non conosce confini.

  • I gruppi APT si stanno professionalizzando e adottano strategie complesse, spesso supportate da governi o da motivazioni ideologico-politiche.

  • È fondamentale rafforzare le difese di filiera e la preparazione incident response delle aziende, con  tecnologie e con la cooperazione internazionale.

Tecniche emergenti osservate nel 2025

L’evoluzione tecnologica, se non accompagnata da un’adeguata maturità difensiva, rischia di favorire più gli attaccanti che i difensori. Le tecniche impiegate nel 2025 lo confermano:

  • Attacchi basati su intelligenza artificiale (AI):
    Gli hacker impiegano algoritmi avanzati di machine learning per automatizzare e adattare le proprie intrusioni, creando malware e attacchi phishing (anche vocali/vishing) dallo stile sempre più realistico e difficili da riconoscere. L’AI viene anche utilizzata per produrre deepfake sofisticati e manipolazione di dati d’identità.

  • Frammentazione ed evoluzione del ransomware:
    Nuove varianti di ransomware si diffondono più rapidamente, supportate da modelli di “ransomware-as-a-service” che abbassano la soglia tecnica per gruppi criminali meno esperti. Cresce la capacità di colpire dispositivi industriali e infrastrutture edge.

  • Compromissione dell’AI e manipolazione dei dataset:
    Cybercriminali tentano attacchi ai sistemi di sicurezza basati su AI, iniettando dati corrotti nei modelli di machine learning per comprometterli e ridurne l’affidabilità operativa.

  • Sfruttamento massivo di vulnerabilità IoT:
    L’esplosione dei dispositivi connessi (Internet of Things) offre nuovi punti d’accesso per attacchi di massa e movimenti laterali nelle reti critiche.

  • Shadow AI e ingegneria sociale automatizzata:
    Gli aggressori utilizzano AI multimodale per profilare le vittime su larga scala e automatizzare tutta la pipeline di attacco: dalla raccolta dati (tramite scraping social media e OSINT) alla generazione di payload personalizzati, fino alle operazioni di esfiltrazione automatica dei dati rubati.

  • Attacchi alla supply chain e cloud:
    La crescente interconnessione dei sistemi, tra cui cloud e infrastrutture software open source, spinge i criminali a colpire fornitori e servizi terzi, compromettendo tutta la filiera tecnologica.

  • Phishing AI-driven e quishing (QR phishing):
    Oltre alle email, vengono usati QR code manipolati come vettore di phishing, e campagne fraudolente basate sull’AI che rendono sempre più difficile distinguere comunicazioni vere da quelle contraffatte.

  • Aggressioni con deepfake e frodi di identità:
    Video e audio artificiali vengono usati non solo per truffe ai danni degli utenti, ma anche per aggirare sistemi di autenticazione biometrica e manipolare processi decisionali interni alle aziende.

  • Quantum attacks e crittografia avanzata:
    Con l’avanzare del quantum computing, iniziano a manifestarsi tentativi di adottare tecniche capaci di eludere le difese attuali, anche se la minaccia si prospetta in forte espansione nei prossimi anni.

Il caso italiano: epicentro della pressione cyber in Europa

Il 2025 ha visto l’Italia trasformarsi nell’epicentro europeo della guerra cibernetica, colpita da una serie di attacchi hacker senza precedenti per intensità, continuità e impatto sulle infrastrutture critiche.

L’Italia ha subito nel primo semestre 2025 il 10% degli attacchi globali, pur rappresentando solo l’1,8% del PIL mondiale. Il danno economico stimato è di 66 miliardi di euro, con proiezioni che superano i 160 miliardi entro il 2026 in assenza di interventi strutturali.

Volume e intensità degli attacchi

Dati e Settori più Colpiti

  • Incremento record di attacchi: Nel solo primo semestre, l’Italia ha registrato 1.549 eventi informatici (+53% rispetto al 2024) e 346 gravi incidenti (+98%). A giugno si è raggiunto l’apice con 433 incidenti cyber in un mese (+115% su base annua), dato mai rilevato prima.
  • Bersagli principali: Tra i settori più colpiti spiccano pubbliche amministrazioni centrali e locali, sanità, energia, trasporti, telco e banche. Un’ondata di 275 attacchi DDoS in 13 giorni consecutivi ha preso di mira 124 asset critici italiani, tra cui ministeri, aeroporti, centrali energetiche e aziende IT.

Criticità evidenziate dalle offensive

  • Automazione ed intelligenza artificiale: Gruppi di matrice statale e criminale hanno adottato attacchi alimentati da AI, in particolare campagne di phishing mirato (spearphishing) che sfruttano algoritmi generativi multilingue per bypassare i filtri e aumentare l’efficacia. I deepfake sono usati per social engineering a danno di top manager, con video impossibili da distinguere dagli originali senza strumenti avanzati.

  • Ransomware evoluto: Il ransomware continua ad essere dominante, colpendo università, ospedali e PA, con attacchi che bloccano servizi strategici e inducono danni a catena nel tessuto sociale ed economico.

  • Sfruttamento vulnerabilità IoT e supply chain: Gli hacker sfruttano la pervasività di dispositivi IoT nelle reti critiche e puntano alle supply chain digitali infiltrando software gestionali e servizi cloud usati da molteplici operatori.

  • Botnet e malware specializzati: Sono aumentati i casi di telecamere di sorveglianza compromesse e integrate in botnet (es. Eleven11bot) usate come base per attacchi in grande scala.

  • Campagne DDoS coordinate: Gruppi come NoName057(16) hanno orchestrato campagne DDoS di lunga durata, sfruttando incentivi in criptovalute e la “gamification” degli attacchi per coordinare volontari e professionisti.

Misure di sicurezza risultate inefficaci

  • Difese tradizionali superate: Sistemi legacy, soluzioni EDR/XDR convenzionali e strumenti di monitoraggio basati su firme si sono dimostrati insufficienti contro malware polimorfi e ransomware avanzati guidati da AI.

  • Patch e aggiornamenti mancanti: Molti incidenti sono stati resi possibili dal mancato aggiornamento di vulnerabilità note (netta l’emergenza sulle falle Citrix), a testimonianza di processi di gestione patch ancora troppo lenti.

  • Scarso controllo su fornitori: Numerosi attacchi hanno avuto successo passando attraverso la supply chain digitale, evidenziando la necessità di rafforzare l’intero ecosistema di sicurezza, non solo il perimetro della singola azienda.

  • MFA e segmentazione non strutturati: In diversi casi l’autenticazione forte e la segmentazione di rete sono state aggirate o implementate in modo superficiale, consentendo movimenti laterali interni e furti di credenziali.

  • Carente risposta a incidenti: Nonostante sia aumentata la capacità di detection, la velocità di risposta agli incidenti resta un punto debole strutturale, incrementando l’impatto complessivo degli attacchi.

Prospettive e priorità per la resilienza nazionale

Tra le misure raccomandate:

  • Adozione di modelli Zero Trust
  • Investimenti in difese autonome e proattive
  • Cooperazione pubblico-privato per la sicurezza delle supply chain
  • Formazione continua e tecnologie di cyber intelligence avanzata

La posizione di Gyala

Il 2025 ha segnato un punto di non ritorno nella percezione e nella realtà della minaccia cyber. La pressione esercitata sugli ecosistemi digitali, in particolare in Italia, indica chiaramente  un cambio di passo: dalla reattività all’anticipazione, dalla protezione perimetrale alla resilienza sistemica.

In questo contesto, Agger, può essere si supporto:

  1. Automazione della difesa IT/OT contro attacchi avanzati
    L’aumento degli attacchi basati su AI, ransomware-as-a-service e tecniche di lateral movement in ambienti OT richiede soluzioni capaci di rilevare e reagire in tempo reale.
    Agger si distingue proprio per essere l’unica piattaforma italiana all-in-one capace di operare sia in ambienti IT che OT, garantendo reazioni automatiche anche nei casi di isolamento infrastrutturale.

  2. Protezione delle infrastrutture critiche e degli endpoint legacy
    Molti attacchi descritti nell’articolo hanno avuto successo sfruttando vulnerabilità note o dispositivi obsoleti, come nel caso degli attacchi alla supply chain o ai sistemi industriali.

    Agger è progettato per difendere anche i sistemi legacy (Windows XP, macchinari industriali, dispositivi elettromedicali ecc.), rendendolo una scelta ideale per settori come energia, sanità, difesa, trasporti e pubblica amministrazione.

  3. Integrazione e compliance nelle infrastrutture complesse
    Le aziende affrontano difficoltà crescenti nel mantenere la compliance con le normative (es. NIS2, DORA, ACN).
    Agger permette una mappatura dettagliata di asset, servizi e relazioni tra sistemi, fornendo tutti i dati utili per la post-analysis e la compliance strutturata ai framework nazionali ed europei.

  4. Reazione immediata: zero secondi
    Nel nuovo panorama descritto nell’articolo, la velocità di reazione è cruciale.
    Agger garantisce reazioni in tempo medio di risposta pari a zero secondi, automatizzando i processi di detection, containment e remediation anche in ambienti altamente complessi.

  5. Protezione dalla minaccia AI-driven e Deepfake
    Con l’esplosione di attacchi basati su intelligenza artificiale (vishing, deepfake, manipolazione dei dati), Agger, grazie ai suoi algoritmi AI di derivazione militare, è in grado di rilevare comportamenti anomali a livello di processo e rete, bloccando automaticamente tentativi di compromissione.

  6. Difesa contro vulnerabilità della supply chain
    L’articolo evidenzia il pericolo crescente di attacchi tramite fornitori esterni.
    Agger,  ha un mulo proprietario per governare, controllare e gestire il rischio cyber da terze parti, creando una connessione protetta e monitorata verso il fornitore che non permette nessun  attacco (anche se in intenzionale)