Nella Relazione annuale al Parlamento, l’Agenzia per la cybersicurezza nazionale fotografa un Paese più esposto, ma anche più capace di contenere gli attacchi. DDoS, phishing, esposizione di dati e ransomware restano tra le minacce principali. L’AI amplifica la qualità delle campagne di phishing.

Nel 2025 gli eventi cyber sono cresciuti del 38%, mentre gli incidenti sono aumentati solo del 7%. Questo andamento conferma che l’aumento del volume delle attività ostili non si è tradotto in modo proporzionale in impatti reali sui sistemi colpiti.

Questo è uno dei dati centrali della Relazione annuale al Parlamento 2025 dell’Agenzia per la cybersicurezza nazionale, che fotografa un anno segnato dall’aumento degli eventi malevoli ma allo stesso tempo, da una maggiore capacità di prevenzione e contenimento.

Secondo la Relazione, nel 2025 il CSIRT Italia ha trattato 2.729 eventi cibernetici, con una media di circa 227 eventi al mese, in aumento rispetto ai 165 del 2024. Gli incidenti con impatto confermato sono stati 615, pari a circa 51 al mese.

Nel 2025 pubblicati 738 alert

La Relazione attribuisce questo risultato anche all’attività di allertamento preventivo del CSIRT Italia, che ha consentito di mitigare le possibili conseguenze degli eventi rilevati. Nel 2025 sono state inviate 46.867 comunicazioni ai soggetti interessati, pubblicati 738 alert e bollettini sul portale pubblico e 804 sul Portale servizi ad accesso riservato. Gli indicatori di compromissione condivisi sono passati da oltre 125mila a più di 800mila.

L’ACN ha inoltre condiviso oltre 5.800 segnalazioni puntuali di vulnerabilità, in attuazione della legge n. 90/2024, informando i soggetti potenzialmente esposti e indicando interventi utili alla mitigazione. Sono cresciuti anche gli interventi diretti a supporto delle vittime di incidente, passati da 40 nel 2024 a 55 nel 2025.

DDoS, phishing e dati esposti

Nel quadro delle minacce, gli attacchi DDoS hanno inciso in modo significativo sul volume complessivo degli eventi. I picchi registrati nei mesi di febbraio, giugno, settembre e ottobre sono ricondotti dalla Relazione a quattro distinte campagne DDoS rivendicate da gruppi hacktivisti, nel contesto del conflitto russo-ucraino e più in generale delle tensioni geopolitiche internazionali. Questi picchi, però, non hanno prodotto un incremento corrispondente degli incidenti.

La quota di attacchi DDoS con impatti misurabili è diminuita: dal 15% circa nel 2024 a meno dell’11% nel 2025. Per l’ACN, questo conferma una migliore capacità di contenimento degli effetti sui servizi, anche grazie alle azioni di mitigazione adottate dai soggetti colpiti e al coordinamento informativo e operativo con l’Agenzia.

Accanto ai DDoS, la Relazione segnala il peso crescente dell’esposizione di dati, spesso rilevata attraverso il monitoraggio delle piattaforme di scambio illecito dove vengono pubblicate e commercializzate informazioni e credenziali compromesse. In diversi casi, queste esposizioni rappresentano il primo passaggio verso intrusioni, esfiltrazioni e ransomware.

Il phishing resta una minaccia trasversale. Le campagne osservate sono spesso orientate all’acquisizione di credenziali di accesso, in particolare per servizi cloud e sistemi informativi. La Relazione sottolinea che la diffusione e la qualità di phishing e spearphishing risultano amplificate dall’impiego di strumenti basati sull’intelligenza artificiale.

Il fattore umano resta decisivo

L’analisi dei vettori di attacco conferma il peso del fattore umano e della gestione delle credenziali. Nel 2025 il 40% dei principali vettori rilevati riguarda l’email, il 24% l’uso di account validi e l’11% lo sfruttamento di vulnerabilità. Secondo l’ACN, la prevalenza di modalità che sfruttano l’interazione con l’utente e l’impiego di credenziali legittime conferma il ruolo centrale della protezione degli accessi nei processi di compromissione.

La Relazione evidenzia anche che l’uso dell’AI consente di generare messaggi di phishing altamente credibili, aumentando la probabilità di successo degli attacchi. Il quadro che emerge non è quindi fatto solo di tecniche sofisticate, ma di combinazioni tra ingegneria sociale, abuso di funzionalità legittime e carenze nelle misure di protezione di base.

La Pubblica Amministrazione nel mirino

La Pubblica Amministrazione resta tra i settori più esposti. Nel 2025 l’ACN ha rilevato 1.140 eventi cyber riferibili a istituzioni pubbliche nazionali. Di questi, 196 episodi, pari a circa il 17%, sono stati qualificati come incidenti. Il numero complessivo degli eventi è in aumento rispetto ai 756 casi del 2024, anche per effetto delle campagne DDoS e dell’accresciuta visibilità dovuta alla piena applicazione della legge n. 90/2024, che ha esteso gli obblighi di notifica a molti soggetti pubblici.

La quota più rilevante degli eventi ha riguardato l’Amministrazione dello Stato e gli organi costituzionali o di rilievo costituzionale. Seguono Comuni, Regioni e aziende sanitarie, ambiti caratterizzati da forte interazione digitale con cittadini e imprese. Una parte significativa degli eventi ha coinvolto anche università, centri di ricerca ed enti pubblici non economici.

Nel caso della PA, oltre alla prevalenza dei DDoS, emergono phishing, brand abuse, esposizione di dati, compromissione di caselle email e scansioni attive su credenziali. Si tratta di attività che spesso servono a raccogliere informazioni, verificare credenziali e preparare attacchi successivi.

Ransomware: meno frequente, ma più impattante

Il ransomware si conferma meno diffuso rispetto ad altre minacce, ma particolarmente critico per gli effetti prodotti. Secondo la Relazione, la maggior parte delle vittime ransomware è rappresentata da piccole imprese, soprattutto nel settore manifatturiero, spesso caratterizzate da livelli di cybersicurezza limitati. Gli attacchi hanno causato in diversi casi indisponibilità prolungate di dati e servizi, con impatti sulla continuità operativa.

Gli incidenti ransomware risultano spesso abilitati dall’uso di credenziali valide precedentemente compromesse, dallo sfruttamento di vulnerabilità non sanate e dall’esposizione di servizi di accesso remoto non adeguatamente protetti. È un dato che conferma quanto patch management, protezione degli accessi e controllo dei servizi esposti restino elementi centrali della difesa.

APT e minacce avanzate

Nel 2025 sono state rilevate anche attività ostili riconducibili con buona probabilità ad attori APT. Le analisi tecniche hanno evidenziato similitudini con attività pubblicamente attribuite a gruppi noti come APT29, Lazarus Group, LightBasin, Salt Typhoon, Mustang Panda, Antique Typhoon, UNC5221 e UNC1549. I settori interessati includono governo nazionale e locale, manifattura, sanità, tecnologia, telecomunicazioni, trasporti, istruzione e aerospazio.

Gli attori avanzati hanno compromesso reti e sistemi soprattutto attraverso vulnerabilità su applicativi esposti, email di spearphishing e account validi. In alcuni casi sono stati osservati malware non pubblicamente documentati e altamente sofisticati, creati appositamente per il target, con finalità di esfiltrazione o controllo remoto.

NIS2, legge AI e nuove competenze ACN

Il 2025 è stato un anno chiave per l’attuazione della disciplina NIS2 in Italia. Dopo oltre 30mila autodichiarazioni ricevute in fase di prima registrazione, l’ACN ha individuato una platea di oltre 21.800 soggetti NIS, molto più ampia rispetto alla precedente disciplina.

La legge sull’intelligenza artificiale ha inoltre attribuito all’ACN un ruolo centrale nella governance nazionale dell’AI. L’Agenzia è stata designata Autorità di vigilanza del mercato e punto di contatto, con funzioni di vigilanza, controllo e poteri sanzionatori per i sistemi di AI che presentano profili di rischio per la sicurezza collettiva, la resilienza delle infrastrutture digitali e gli interessi strategici dello Stato.

Strategia nazionale: 60 misure su 82 completate

Alla fine del 2025, l’ACN afferma di aver portato a termine 60 delle 82 misure contenute nella Strategia nazionale di cybersicurezza. La Relazione sottolinea anche il rafforzamento interno dell’Agenzia con unità ad alta specializzazione, l’intensificazione dell’attività del CSIRT Italia, gli accordi con mondo accademico e industriale e le iniziative di sensibilizzazione e formazione rivolte a diversi ambiti sociali.

Per il triennio 2025-2027, i Fondi Strategia prevedono 50,6 milioni di euro per il Fondo per l’attuazione della Strategia nazionale di cybersicurezza e 7 milioni di euro per il Fondo per la gestione della cybersicurezza.

Per ACN quindi la minaccia cresce nel nostro Paese, ma il sistema nazionale mostra una capacità maggiore di intercettare, allertare e contenere. L’aumento degli eventi cyber non si traduce automaticamente in incidenti, anche grazie al lavoro preventivo del CSIRT Italia e al progressivo rafforzamento degli obblighi di notifica.

Per approfondire

• Per scaricare la relazione annuale 2025 di ACN clicca qui.

Vai al sito di Cybersecurity Italia.

L'articolo ACN pubblica la relazione annuale 2025: “Aumentano gli eventi cyber in Italia, +38%. Ma gli incidenti crescono solo del 7%” sembra essere il primo su CyberSecurity Italia.