Clusit 2025, Italia paese tra i più colpiti dal cybercrime » inno3

Con qualche giorno di anticipo rispetto alla data di presentazione ufficiale (in occasione di Security Summit 2025, a Milano) l’anteprima dei dati del Rapporto Clusit 2025 anima il confronto tra gli addetti ai lavori e offre una serie di importanti spunti di riflessione sulla cybersecurity a livello globale e nazionale con i dati empirici aggiornati che fotografano sia la portata del problema sia le prospettive per la sua mitigazione. In particolare, l’analisi evidenzia oltre 3.500 incidenti noti a fronte di decine di milioni di eventi di sicurezza monitorati dagli operatori specializzati. Esordisce così Anna Vaccarelli, presidente Clusit: “I dati che presentiamo sono ancora una volta in progressione negativa. Gli attacchi informatici, e i conseguenti incidenti, continuano ad aumentare e impongono a tutti di alzare il livello di attenzione e le imprese e le pubbliche amministrazioni devono ormai considerare la cybersecurity come un elemento centrale delle proprie strategie. Soprattutto, occorre imparare a muoversi alla stessa velocità del cybercrime“.

Sono i numeri in dettaglio ad offrire agli esperti una serie di spunti interessanti per l’analisi. Per quanto riguarda i “macro” rilievi a livello globale nel corso del 2024, sono stati 3.541 gli incidenti informatici rilevati, con una crescita del 27,4% rispetto all’anno precedente. In media si sono registrati 295 attacchi al mese e 9 su 10 di questi avevano finalità di cybercrime.

L’Italia vede un incremento del 15,2% degli attacchi (2024 su 2023) e “raccoglie” oggi circa il 10,1% del totale degli incident mondiali. La tecnica più utilizzata torna ad essere il malware – in primis il ransomware – in leggero calo percentuale rispetto al 2023, mostra una crescita dell’11% in termini assoluti, con +114 incidenti nel 2024 rispetto all’anno precedente, confermando la sua affidabilità nelle strategie cybercriminali – e il phishing con il social engineering. A livello globale tornano a crescere anche gli attacchi DDoS (+36%) ma con effetti che sembrano oggi meno critici, mentre complessivamente ben il 79% degli incidenti nel mondo continua a produrre impatti gravi o gravissimi, con conseguenze operative, finanziarie e reputazionali. Entriamo allora nei dettagli dell’analisi. 

Clusit 2025, scenari globali e locali

Una prima lettura di scenario consente di valutare la cybersecurity oggi come “inestricabilmente legata anche agli eventi geopolitici”, alla crescente trasformazione digitale e all’evoluzione delle tecnologie legate all’AI. “Nel 2024 si è ulteriormente consolidata la commistione tra criminalità comune e cybercrime, con reati informatici che garantiscono “ricavi” superiori ad alcuni crimini tradizionali e attraggono forme di collaborazione che rendono i gruppi cybercrime sempre più agguerriti”, precisa Vaccarelli, mentre Sofia Scozzari, comitato direttivo di Clusit, approfondisce l’analisi numerica.

“Il cybercrime ‘copre’ l’86% degli attacchi noti a livello globale, parliamo di un fenomeno che non accenna a diminuire, ma sta evolvendo su scala industriale, grazie a modelli As-a-Service che consentono anche a chi non possiede competenze tecniche di avviare operazioni malevole. Quest’anno si è registrato tuttavia anche un ritorno di fiamma dell’hacktivism, in netta crescita, e un raddoppio quasi delle attività di information warfare, probabilmente da collegare ai conflitti in corso”. Un dato si rivela importante in proposito: si registra una crescita del 67% degli incidenti in Europa, continente che oggi, insieme alle Americhe, concentra circa i due terzi degli attacchi mondiali. Una percentuale che, per il Vecchio Continente, merita di essere considerata anche alla luce delle più recenti normative ed attività (oltre a Gdpr, Dora, le Direttive Nis1 e Nis2) che hanno aumentato la trasparenza e l’obbligo di notifica degli incidenti, rendendo l’Europa un terreno di indagine particolarmente fecondo.

All’interno del perimetro europeo l’Italia si conferma a sua volta tra i Paesi più colpiti dagli attacchi informatici, con una quota, come accennato, tale per cui più di un attacco su dieci di quelli globali è diretto al Paese. Luca Bechelli, comitato direttivo Clusit, evidenzia che il Paese mostra “un tasso di crescita degli incidenti (+15,2% rispetto al 2023) lievemente inferiore al +27,4% globale” ma che, messo in relazione con il Pil italiano rispetto a quello mondiale, mostra una disparità significativa: “Subiamo il 10% del campione di attacchi, a fronte di un Pil che è intorno all’1% rispetto a quello globale”. 

Al rilievo si aggiunge l’analisi di Gabriele Faggioli, presidente onorario di Clusit, secondo cui, all’interno dello stesso continente europeo, la situazione è particolarmente complessa a causa del tessuto produttivo composto in larga parte da Pmi, spesso meno strutturate in termini di cyber difesa. “Gli Stati Uniti – sottolinea Faggioli – hanno un Pil di circa 27mila miliardi, l’intera Unione Europea di 18.500 miliardi, eppure il numero complessivo di attacchi non è proporzionalmente inferiore qui da noi. Questo indica come le nostre realtà risultino particolarmente esposte e meno pronte a reagire”.

Il peso della criminalità informatica si avverte con maggiore evidenza e con marcate differenze: nel 2024 il cybercrime in Italia ha coperto il 78% delle cause di attacco (+40,6% rispetto al 2023), mentre l’hacktivism ha raggiunto quasi il 29% del totale dei fenomeni analoghi nel mondo. L’assenza di incidenti rilevanti per lo spionaggio e l’information warfare non esclude che queste operazioni avvengano, ma piuttosto segnala la difficoltà di attribuire tali attacchi con certezza. A livello globale invece i ricercatori Clusit rilevano che anche il fenomeno dell’hacktivism è in netta crescita (16 punti percentuali in più rispetto all’anno precedente), così come quello dell’information warfare – la “guerra delle informazioni” – che raddoppia quasi, rispetto al 2023, e solo gli incidenti con finalità espionage/sabotage sono in diminuzione, di circa il 20%, ma proprio questi ultimi hanno avuto gli impatti di gravità massima nel 70% dei casi e i diversi conflitti che hanno caratterizzato il 2024 hanno portato, secondo i ricercatori di Clusit, al costante ricorso a queste tipologie di attacco.

 I verticali colpiti

Uno dei dati più singolari che emergono dal Rapporto Clusit 2025 riguarda il comparto news e multimedia, che in Italia si piazza al primo posto con il 18% degli attacchi. A spiegare questo salto è però la scoperta di “un’unica vulnerabilità zero-day che ha consentito di colpire una pluralità di testate e portali, producendo un danno collettivo enorme, arrivato a sfiorare i 5 milioni di account compromessi”, spiega Bechelli. Questo fenomeno dimostra come l’uso diffuso di una stessa tecnologia all’interno di un intero comparto possa trasformarsi in un punto di debolezza, tanto più se tale tecnologia presenta falle di sicurezza. A ruota il manifatturiero, che totalizza il 16% degli attacchi – la stessa percentuale registrata dagli obiettivi bultipli.

“Il settore resta un bersaglio privilegiato per via della sua rilevanza economica e della scarsa adozione di misure di sicurezza in alcune delle sue filiere”. Le statistiche sottolineano poi che ben un quarto degli incidenti mondiali al manufacturing avviene in Italia, un dato che allarma e che si lega al carattere fortemente manifatturiero del nostro Paese. Il settore pubblico (10%) registra anch’esso una crescita degli attacchi, collegata spesso ad azioni dimostrative o di disturbo. In netta diminuzione gli incidenti riguardanti il finance e le assicurazioni (2% del totale italiano), un comparto che da tempo investe in sicurezza e che beneficia di normative più stringenti, tra cui il Regolamento Dora. Mentre sono in lieve calo le vittime del settore della Sanità in Italia (-0,8 punti percentuale rispetto al 2023).

A livello globale, invece, la lettura sui verticali attaccati è proposta ancora da Scozzari: “Quasi la metà degli incidenti (44%) ha colpito le tre categorie obiettivi multipli (18% del totale, in crescita del 17% rispetto al 2023), che subiscono campagne di attacco non mirate, ma dagli effetti consistenti”. Seguono a ruota il settore governativo e delle forze armate, con il 13% del totale – ed in crescita del 45% rispetto al 2023 -, ed il settore della sanità (13% del totale, in crescita del 19% rispetto all’anno precedente). Gli attacchi “indiscriminati” su obiettivi multipli si confermano “preferiti” dal cybercrime, con un elevato successo “a causa dell’intensità di questa tipologia di campagne” per cui si mira ad un risultato finale certo. Gli altri due verticali rappresentano obiettivi particolarmente appetibili, per il ruolo strategico che ricoprono e per la rilevanza dei dati trattati.

Tecniche di attacco 

La distribuzione delle tecniche d’attacco in Italia mostra novità significative. Bechelli: Fino all’anno precedente, gli attacchi DDoS rappresentavano la principale criticità, mentre nel 2024 il malware (con una netta prevalenza dei ransomware) è tornato in vetta, assestandosi sul 38% degli incidenti totali”. Gli attacchi DDoS “scendono” al 21%, presumibilmente anche a seguito di una minore attenzione degli attivisti verso il nostro Paese. Da sottolineare, invece, la pericolosa impennata dello sfruttamento delle vulnerabilità note e zero-day, arrivate a toccare il 19% degli attacchi (+90% anno su anno), e la permanenza del phishing/ingegneria sociale intorno all’11%. “Questi numeri dimostrano che il fattore umano resta un anello debole. Se un attacco su dieci si basa su phishing, significa che con una formazione più solida potremmo ridurre consistentemente la superficie di rischio”, interviene la presidente Vaccarelli.

La severità risulta poi allarmante: in Italia oltre il 60% degli incidenti ha impatti alti o critici e il fenomeno dei ransomware è particolarmente preoccupante poiché si è stabilizzato su livelli tali da rendere questi codici malevoli una certezza per i criminali, forti della capacità di colpire con successo server e dispositivi non adeguatamente protetti.
A livello globale invece, oltre ai rilievi iniziali relativi al ransomware, e all’aumento significativo di incidenti causati da attacchi DDoS (nel 2024 l’8%, ma +36% sul 2023), l’8% degli incident complessivi è da ricollegare a phishing e social engineering (+33% rispetto al 2023), mentre furto delle identità e violazione di account hanno invece registrato una variazione percentuale del +135%.

La fotografia di Fastweb

L’analisi dei dati raccolti da Fastweb contribuisce ad arricchire il Rapporto con le informazioni rilevate dal suo security operations center (Soc). “Nel 2024 abbiamo tracciato oltre 69 milioni di eventi di sicurezza, in crescita del 23% rispetto all’anno precedente”, dettaglia Mirko Santocono, manager of B2B Products – Ict & Cybersecurity, Fastweb.

Gli operatori del Soc hanno rilevato un turnover costante delle famiglie di attacco, con picchi che sfruttano momenti in cui gli utenti sono meno vigili (periodi festivi, ferie estive, ecc.) o in cui una particolare vulnerabilità risulta più facile da colpire.

Da qui, il ruolo sempre più importante dell’intelligenza artificiale, usata sia dai criminali per automatizzare la scoperta di falle sia dalle aziende per migliorare i sistemi di rilevazione e risposta. Prosegue Santocono: “Non basta più proteggersi dai virus classici. Occorrono strumenti e processi di difesa allo stato dell’arte che si aggiornino in modo continuo e reattivo. Se le minacce si fermano, ci fermiamo anche noi, ma il problema è che gli attaccanti non si fermano mai”, anche dai rilievi Fastweb emerge come alcuni settori, finance e insurance tra questi, dimostrano di saper reggere l’onda delle minacce, con una crescita degli incidenti “solo” del 36% contro valori più elevati in altri ambiti: “ciò conferma che dove si investe di più e si applicano normative più rigorose, i risultati arrivano“. Lasciamo invece alla slide di presentazione il dettaglio sui numeri specifici rilevati dal Soc Fastweb.

I vantaggi di un approccio strutturato

Il confronto aiuta a mettere a fuoco quelli che a nostro avviso restano i temi chiave su cui lavorare: la sicurezza informatica richiede in primis un approccio strutturato, che parta dall’alto e si irradi in tutta l’organizzazione. La governance della cybersecurity, il risk management, il patching tempestivo e l’adozione di principi di security by design nei processi di sviluppo diventano tasselli fondamentali per proteggere le infrastrutture IT e OT. Non a caso più volte si sottolinea l’impatto delle vulnerabilità non ancora riconosciute o peggio “non patchate”.

Un altro aspetto determinante è la sensibilizzazione delle persone: in un Paese dove il phishing e l’ingegneria sociale continuano a mietere vittime, appare evidente la necessità di programmi di formazione continua. “Ancora troppe organizzazioni sottovalutano il problema e non fanno esercitazioni specifiche. Bisognerebbe adottare la stessa mentalità delle esercitazioni antincendio, con simulazioni periodiche di attacchi e phishing, per abituare il personale a riconoscere i rischi”, osserva Anna Vaccarelli. Gli esperti sottolineano infine l’impatto positivo di alcune normative recenti con l’appunto però secondo il quale non basta una compliance formale alle regole ma “è necessario interiorizzare la sicurezza, adottando procedure costanti di verifica e monitoraggio, e integrando le migliori tecnologie nel ciclo di vita dei servizi digitali”, interviene Faggioli.

“Dobbiamo lavorare per creare un ecosistema difensivo integrato, che metta in rete le informazioni e utilizzi l’esperienza di tutti i soggetti coinvolti – chiosa Alessio Pennasilico, comitato scientifico Clusit – perché soltanto attraverso una collaborazione tra privati e istituzioni, tramite la condivisione di dati di intelligence, è possibile arginare la rapida evoluzione del cybercrime. Un punto che vede nel rapporto stesso un buon esempio di applicazione. Infatti Clusit 2025 porta anche il contributo della Polizia Postale e delle Comunicazioni – con le testimonianze di operazioni di contrasto ad attività criminali online – e la partecipazione di diverse organizzazioni pubbliche e private. Nel documento figurano inoltre sezioni dedicate all’approfondimento di temi quali la cybersecurity in sanità, la protezione del data center ibrido nell’era dell’AI, la sicurezza nella supply chain e nelle infrastrutture critiche, e uno sguardo agli aspetti socio-culturali (come la relazione tra autismo e sicurezza informatica).

© RIPRODUZIONE RISERVATA