Cybersecurity 2025:

Sei mesi che hanno ridisegnato la mappa globale del rischio
Nel primo semestre del 2025, lo scenario della cybersecurity ha subito una trasformazione profonda.: la frequenza e la sofisticazione degli attacchi informatici, soprattutto verso le infrastrutture critiche, hanno raggiunto livelli senza precedenti, obbligando governi e aziende a livello globale a ridefinire le priorità strategiche
Una sfida che non riguarda solo la tecnologia, ma il modo in cui governi, imprese e società decidono di affrontare – o subire – il nuovo equilibrio digitale.
Di seguito, un’analisi delle principali tendenze, casi di studio ed evoluzioni tecniche osservati nei primi sei mesi dell’anno con uno sguardo a quanto è avvenuto nel mondo e poi con un focus sul mercato italiano.
Casi emblematici nel contesto internazionale
-
Attacco alla distribuzione alimentare (UNFI, USA): Nel giugno 2025, un attacco informatico ha colpito United Natural Foods Inc., fornitore primario della catena Whole Foods. L’hackeraggio ha paralizzato i sistemi di ordinazione elettronica, causando ritardi nella distribuzione e carenze nei supermercati del Nord America. L’evento ha messo in luce la vulnerabilità della filiera alimentare digitale e la dipendenza critica da singoli operatori.
-
Infrastrutture energetiche europee prese di mira: Il gruppo hacktivista di matrice russa Z-Pentest è salito alla ribalta con una serie di 38 attacchi a sistemi di controllo industriale (ICS) nel secondo trimestre, puntando soprattutto su infrastrutture energetiche di vari paesi europei. Queste azioni non solo hanno generato veri e propri blackout digitali, ma anche un impatto psicologico, con la pubblicazione online di video che documentavano la presa di controllo dei comandi industriali.
-
Attacco alla National Defense Corporation (USA): A marzo, il gruppo ransomware Interlock ha sottratto 4,2TB di dati sensibili alla National Defense Corporation, minacciando l’intera filiera della Difesa. Il leak, pubblicato sul dark web, ha esposto informazioni su forniture, logistica e approvvigionamenti bellici, mostrando come gli hacker ora puntino sempre più verso obiettivi strategici.
-
US Nuclear Weapons Agency compromessa: A luglio, la National Nuclear Security Administration degli Stati Uniti è stata violata tramite una vulnerabilità di Microsoft SharePoint. L’attacco, attribuito ad hacker sponsorizzati dalla Cina, ha portato all’accesso a informazioni sensibili relative alla sicurezza nucleare nazionale.
- Singapore sotto attacco: Nel luglio 2025, un gruppo statale APT (Advanced Persistent Threat) è riuscito a infiltrarsi nelle infrastrutture critiche di Singapore, prendendo di mira settori come telecomunicazioni, energia e governo con operazioni di spionaggio informatico su larga scala.
Cosa ci insegnano questi attacchi
- Nessun settore (energia, difesa, alimentare, governance…) è immune: il rischio digitale oggi non conosce confini.
- I gruppi APT si stanno professionalizzando e adottano strategie complesse, spesso supportate da governi o da motivazioni ideologico-politiche.
- È fondamentale rafforzare le difese di filiera e la preparazione incident response delle aziende, con tecnologie e con la cooperazione internazionale.
Tecniche emergenti osservate nel 2025
L’evoluzione tecnologica, se non accompagnata da un’adeguata maturità difensiva, rischia di favorire più gli attaccanti che i difensori. Le tecniche impiegate nel 2025 lo confermano:
-
Attacchi basati su intelligenza artificiale (AI):
Gli hacker impiegano algoritmi avanzati di machine learning per automatizzare e adattare le proprie intrusioni, creando malware e attacchi phishing (anche vocali/vishing) dallo stile sempre più realistico e difficili da riconoscere. L’AI viene anche utilizzata per produrre deepfake sofisticati e manipolazione di dati d’identità.
-
Frammentazione ed evoluzione del ransomware:
Nuove varianti di ransomware si diffondono più rapidamente, supportate da modelli di “ransomware-as-a-service” che abbassano la soglia tecnica per gruppi criminali meno esperti. Cresce la capacità di colpire dispositivi industriali e infrastrutture edge.
-
Compromissione dell’AI e manipolazione dei dataset:
Cybercriminali tentano attacchi ai sistemi di sicurezza basati su AI, iniettando dati corrotti nei modelli di machine learning per comprometterli e ridurne l’affidabilità operativa.
-
Sfruttamento massivo di vulnerabilità IoT:
L’esplosione dei dispositivi connessi (Internet of Things) offre nuovi punti d’accesso per attacchi di massa e movimenti laterali nelle reti critiche.
-
Shadow AI e ingegneria sociale automatizzata:
Gli aggressori utilizzano AI multimodale per profilare le vittime su larga scala e automatizzare tutta la pipeline di attacco: dalla raccolta dati (tramite scraping social media e OSINT) alla generazione di payload personalizzati, fino alle operazioni di esfiltrazione automatica dei dati rubati.
-
Attacchi alla supply chain e cloud:
La crescente interconnessione dei sistemi, tra cui cloud e infrastrutture software open source, spinge i criminali a colpire fornitori e servizi terzi, compromettendo tutta la filiera tecnologica.
-
Phishing AI-driven e quishing (QR phishing):
Oltre alle email, vengono usati QR code manipolati come vettore di phishing, e campagne fraudolente basate sull’AI che rendono sempre più difficile distinguere comunicazioni vere da quelle contraffatte.
-
Aggressioni con deepfake e frodi di identità:
Video e audio artificiali vengono usati non solo per truffe ai danni degli utenti, ma anche per aggirare sistemi di autenticazione biometrica e manipolare processi decisionali interni alle aziende.
-
Quantum attacks e crittografia avanzata:
Con l’avanzare del quantum computing, iniziano a manifestarsi tentativi di adottare tecniche capaci di eludere le difese attuali, anche se la minaccia si prospetta in forte espansione nei prossimi anni.
Il caso italiano: epicentro della pressione cyber in Europa
Il 2025 ha visto l’Italia trasformarsi nell’epicentro europeo della guerra cibernetica, colpita da una serie di attacchi hacker senza precedenti per intensità, continuità e impatto sulle infrastrutture critiche.
L’Italia ha subito nel primo semestre 2025 il 10% degli attacchi globali, pur rappresentando solo l’1,8% del PIL mondiale. Il danno economico stimato è di 66 miliardi di euro, con proiezioni che superano i 160 miliardi entro il 2026 in assenza di interventi strutturali.
Volume e intensità degli attacchi
Dati e Settori più Colpiti
- Incremento record di attacchi: Nel solo primo semestre, l’Italia ha registrato 1.549 eventi informatici (+53% rispetto al 2024) e 346 gravi incidenti (+98%). A giugno si è raggiunto l’apice con 433 incidenti cyber in un mese (+115% su base annua), dato mai rilevato prima.
- Bersagli principali: Tra i settori più colpiti spiccano pubbliche amministrazioni centrali e locali, sanità, energia, trasporti, telco e banche. Un’ondata di 275 attacchi DDoS in 13 giorni consecutivi ha preso di mira 124 asset critici italiani, tra cui ministeri, aeroporti, centrali energetiche e aziende IT.
Criticità evidenziate dalle offensive
-
Automazione ed intelligenza artificiale: Gruppi di matrice statale e criminale hanno adottato attacchi alimentati da AI, in particolare campagne di phishing mirato (spearphishing) che sfruttano algoritmi generativi multilingue per bypassare i filtri e aumentare l’efficacia. I deepfake sono usati per social engineering a danno di top manager, con video impossibili da distinguere dagli originali senza strumenti avanzati.
-
Ransomware evoluto: Il ransomware continua ad essere dominante, colpendo università, ospedali e PA, con attacchi che bloccano servizi strategici e inducono danni a catena nel tessuto sociale ed economico.
-
Sfruttamento vulnerabilità IoT e supply chain: Gli hacker sfruttano la pervasività di dispositivi IoT nelle reti critiche e puntano alle supply chain digitali infiltrando software gestionali e servizi cloud usati da molteplici operatori.
-
Botnet e malware specializzati: Sono aumentati i casi di telecamere di sorveglianza compromesse e integrate in botnet (es. Eleven11bot) usate come base per attacchi in grande scala.
- Campagne DDoS coordinate: Gruppi come NoName057(16) hanno orchestrato campagne DDoS di lunga durata, sfruttando incentivi in criptovalute e la “gamification” degli attacchi per coordinare volontari e professionisti.
Misure di sicurezza risultate inefficaci
-
Difese tradizionali superate: Sistemi legacy, soluzioni EDR/XDR convenzionali e strumenti di monitoraggio basati su firme si sono dimostrati insufficienti contro malware polimorfi e ransomware avanzati guidati da AI.
-
Patch e aggiornamenti mancanti: Molti incidenti sono stati resi possibili dal mancato aggiornamento di vulnerabilità note (netta l’emergenza sulle falle Citrix), a testimonianza di processi di gestione patch ancora troppo lenti.
-
Scarso controllo su fornitori: Numerosi attacchi hanno avuto successo passando attraverso la supply chain digitale, evidenziando la necessità di rafforzare l’intero ecosistema di sicurezza, non solo il perimetro della singola azienda.
-
MFA e segmentazione non strutturati: In diversi casi l’autenticazione forte e la segmentazione di rete sono state aggirate o implementate in modo superficiale, consentendo movimenti laterali interni e furti di credenziali.
- Carente risposta a incidenti: Nonostante sia aumentata la capacità di detection, la velocità di risposta agli incidenti resta un punto debole strutturale, incrementando l’impatto complessivo degli attacchi.
Prospettive e priorità per la resilienza nazionale
Tra le misure raccomandate:
- Adozione di modelli Zero Trust
- Investimenti in difese autonome e proattive
- Cooperazione pubblico-privato per la sicurezza delle supply chain
- Formazione continua e tecnologie di cyber intelligence avanzata
La posizione di Gyala
Il 2025 ha segnato un punto di non ritorno nella percezione e nella realtà della minaccia cyber. La pressione esercitata sugli ecosistemi digitali, in particolare in Italia, indica chiaramente un cambio di passo: dalla reattività all’anticipazione, dalla protezione perimetrale alla resilienza sistemica.
In questo contesto, Agger, può essere si supporto:
-
Automazione della difesa IT/OT contro attacchi avanzati
L’aumento degli attacchi basati su AI, ransomware-as-a-service e tecniche di lateral movement in ambienti OT richiede soluzioni capaci di rilevare e reagire in tempo reale.
Agger si distingue proprio per essere l’unica piattaforma italiana all-in-one capace di operare sia in ambienti IT che OT, garantendo reazioni automatiche anche nei casi di isolamento infrastrutturale.
-
Protezione delle infrastrutture critiche e degli endpoint legacy
Molti attacchi descritti nell’articolo hanno avuto successo sfruttando vulnerabilità note o dispositivi obsoleti, come nel caso degli attacchi alla supply chain o ai sistemi industriali.
Agger è progettato per difendere anche i sistemi legacy (Windows XP, macchinari industriali, dispositivi elettromedicali ecc.), rendendolo una scelta ideale per settori come energia, sanità, difesa, trasporti e pubblica amministrazione.
-
Integrazione e compliance nelle infrastrutture complesse
Le aziende affrontano difficoltà crescenti nel mantenere la compliance con le normative (es. NIS2, DORA, ACN).
Agger permette una mappatura dettagliata di asset, servizi e relazioni tra sistemi, fornendo tutti i dati utili per la post-analysis e la compliance strutturata ai framework nazionali ed europei.
-
Reazione immediata: zero secondi
Nel nuovo panorama descritto nell’articolo, la velocità di reazione è cruciale.
Agger garantisce reazioni in tempo medio di risposta pari a zero secondi, automatizzando i processi di detection, containment e remediation anche in ambienti altamente complessi.
-
Protezione dalla minaccia AI-driven e Deepfake
Con l’esplosione di attacchi basati su intelligenza artificiale (vishing, deepfake, manipolazione dei dati), Agger, grazie ai suoi algoritmi AI di derivazione militare, è in grado di rilevare comportamenti anomali a livello di processo e rete, bloccando automaticamente tentativi di compromissione.
-
Difesa contro vulnerabilità della supply chain
L’articolo evidenzia il pericolo crescente di attacchi tramite fornitori esterni.
Agger, ha un mulo proprietario per governare, controllare e gestire il rischio cyber da terze parti, creando una connessione protetta e monitorata verso il fornitore che non permette nessun attacco (anche se in intenzionale)