Didascalia
Sono stati pubblicati i report ACN/CSIRT e AgID/CERT sullo stato della cybersecurity in Italia. In particolare:
I report, pur presentando dati e analisi diverse, sono complementari e ci consentono di fornire una prospettiva il più possibile completa dello stato di salute cyber dell’Italia e della Pubblica Amministrazione in particolare.
Prima di iniziare l’analisi, premettiamo un po' di definizioni, necessarie per comprendere i dati.
Per evento cyber si intende un qualsiasi accadimento osservabile in ambito cyber che può avere rilevanza per la sicurezza, ma che non presenta necessariamente un impatto confermato sui sistemi, sui dati o sui servizi. In pratica, un evento è un segnale, un indicatore o una manifestazione di attività potenzialmente malevola, che viene rilevata attraverso:
Quindi, un evento non implica automaticamente un danno. È una manifestazione che potrebbe evolvere, oppure essere bloccata o contenuta. Esempi tipici di eventi:
Un incidente cyber (con impatto confermato) è invece un evento che ha prodotto effetti concreti e verificati sulla riservatezza, integrità o disponibilità di sistemi, dati o servizi digitali. La differenza fondamentale con un evento è che l’incidente non è solo osservato, ma accertato nei suoi effetti. Esempi tipici di incidenti:
In generale, un incidente è sempre preceduto da uno o più eventi, ma non tutti gli eventi diventano incidenti.
L’analisi svolta sui dati forniti da ACN/CSIRT evidenzia un’evoluzione significativa del panorama delle minacce nel corso dell’anno. Infatti, il confronto tra primo e secondo semestre 2025 mostra una riduzione degli incidenti con impatto confermato, a fronte di una persistente e intensa attività malevola (eventi), sempre più intercettata nelle fasi iniziali grazie al rafforzamento delle capacità di monitoraggio e risposta.
Questa dinamica emerge chiaramente dall’osservazione congiunta dei principali indicatori operativi riportati nelle seguenti figure, che confrontano i valori aggregati dei due semestri.
Se osserviamo i dati, vediamo come il cosiddetto "tasso di incidentalizzazione", ovvero il numero di eventi che si trasformano in incidenti nel 2025 è pari al 23%, ovvero meno di un quarto degli eventi si trasforma in un incidente confermato. Tuttavia, il dato analitico per singolo mese e semestre, evidenzia una tendenza peggiorativa. Infatti, se nel primo semestre tale percentuale era di circa il 22%, nel secondo semestre questa percentuale sale a poco più del 24%.
Questo lieve incremento non segnala necessariamente un peggioramento della postura di sicurezza, ma riflette piuttosto una maggiore efficacia nella classificazione degli eventi. Nel secondo semestre, infatti, molti eventi a basso impatto – come tentativi di phishing non riusciti o campagne DDoS rapidamente mitigate – vengono gestiti prima di produrre effetti significativi, mentre l’attenzione si concentra su eventi più qualificati.
Il maggior numero di vittime di eventi è stato registrato nei settori della Pubblica amministrazione (centrale e locale) e nel comparto sanità. La figura che segue illustra la suddivisione gli andamenti nei due semestri del 2025.
E per quanto riguarda le tipologie di minacce, non ci sono molte sorprese. La figura che segue descrive la top five delle minacce che hanno impattato sulla PA.
Per quanto riguarda la Pubblica Amministrazione, sia centrale sia locale, l’elevato numero di eventi rilevati risulta determinato principalmente dalle campagne DDoS che di phishing.
Per quanto riguarda DDoS e Ransomware, abbiamo già presentato in questo blog i report predisposti da ACN per contrastrare queste tipologie di minacce:
Anche in questo caso premettiamo una definizione per chiarire i concetti illustrati. Una campagna malevola è una serie coordinata e pianificata di attacchi informatici, spesso basata su tecniche di ingegneria sociale, malware o phishing, orchestrata da uno o più attori per raggiungere un obiettivo specifico. A differenza di un singolo attacco isolato, una campagna malevola è un'azione continuativa nel tempo che mira a colpire più vittime o organizzazioni.
AgID/CERT, nel corso del 2025, ha individuato circa 3620 campagne malevole, di cui, tra i principali vettori di compromissione, abbiamo il phishing, utilizzato spesso mediante l’uso fraudolento di nomi e loghi della Pubblica Amministrazione, come PagoPA, Agenzia delle Entrate, SPID, ecc... Anche l’utilizzo di caselle legittime PEC compromesse sono state utilizzate per queste campagne.
In particolare, sono state individuate:
Questa tipologia di campagne, di solito condotte nei confronti di cittadini ed imprese, spesso sono anche sfruttate per accedere e compromettere caselle di posta elettronica (anche certificata) legittime.
In risposta a questa minaccia persistente, ACN promuove l’adozione del framework di autenticazione per la posta elettronica, basato sui protocolli SPF, DKIM e DMARC.
A differenza di misure esclusivamente reattive, questo framework interviene a monte del problema, impedendo la corretta consegna di messaggi che non superano i controlli di autenticazione.
I tre protocolli, agendo in maniera sistematica, mitigano le minacce di phishing in quanto:
L’adozione sistematica di questo framework consente di ridurre drasticamente la superficie di attacco legata al phishing.
Il confronto tra primo e secondo semestre 2025 restituisce l’immagine di un ecosistema cyber più sorvegliato, più reattivo e, in molti casi, più resiliente. La diminuzione degli incidenti con impatto confermato non deve però indurre a un falso senso di sicurezza: le minacce restano numerose e in continua evoluzione, grazie anche all'utilizzo sempre più massiccio dell'Intelligenza Artificiale (ne parleremo in un prossimo blog).
In questo contesto, la combinazione tra monitoraggio avanzato, capacità di risposta operativa e adozione di contromisure strutturali, come il framework di ACN dir autenticazione per la posta elettronica, rappresenta la chiave per contenere il rischio e trasformare l’aumento degli eventi in un’opportunità di prevenzione, piuttosto che in un incremento degli incidenti.
