L’abbiamo già detto in passato ma tocca ribadirlo: l’Italia è sempre più sotto attacco cyber. Non è allarmismo, lo dicono i numeri. Nel primo semestre del 2025 sono stati registrati 1.549 eventi informatici, con un incremento del 53% rispetto allo stesso periodo del 2024. Ma non è solo una questione di quantità, anche gli incidenti gravi, quelli con impatto confermato, sono quasi raddoppiati, arrivando a 346 (+98%).
I dati, diffusi dall’Agenzia per la cybersicurezza nazionale (Acn), evidenziano con forza la gravità della situazione. Gli attacchi non sono solo più numerosi, ma anche più precisi, sofisticati e mirati. A rendere il quadro ancora più complesso è l’evoluzione del cybercrime verso logiche quasi militari, con obiettivi strategici e metodi avanzati. Va però riconosciuto che la capacità di rilevamento è migliorata e il merito è del lavoro del Csirt Italia (Computer security incident response team) e dell’effetto combinato della legge 90/2024 e del D. lgs 138/2024, che hanno potenziato la cornice normativa e rafforzato le difese del perimetro cibernetico nazionale. Ma la sostanza resta, non siamo più davanti a una minaccia in crescita. Siamo in una vera e propria cybercrisi.
Giugno 2025: la tempesta perfetta
Giugno ha segnato l’apice. In un solo mese sono stati rilevati 433 eventi, il dato mensile più alto mai registrato: +115% rispetto al 2024. L’Italia è diventata il bersaglio principale in Europa, al centro di una campagna martellante DDoS (false richieste di accesso su scala molto ampia) durata 13 giorni consecutivi.
Dal 3 al 16 giugno, 275 attacchi hanno colpito 124 obiettivi critici: ministeri, aeroporti, banche, infrastrutture IT. Dietro l’ondata c’è il gruppo NoName057(16), collettivo filorusso che ha trasformato il cybercrime in una vera guerra ibrida gamificata, dove operatori professionali e volontari si coordinano tramite ricompense in criptovalute e strumenti automatici.
Una macchina ben oliata e pericolosamente efficace: secondo l’Acn, il 45% degli attacchi DDoS di giugno è stato rivendicato da questo gruppo.
Settori sotto assedio: PA, Telco, Sanità, Energia
Gli attacchi hanno colpito pubbliche amministrazioni centrali e locali, aziende di telecomunicazioni, università, ospedali e fornitori energetici. Il comparto telco è stato bersaglio di una campagna di spearphishing ad aprile, mentre a marzo una violazione presso un fornitore di servizi digitali ha coinvolto numerosi enti locali.
Nel frattempo, gli attacchi ransomware, 91 nel semestre, in linea con il 2024, hanno paralizzato università, ospedali e fornitori digitali della PA. A febbraio, un attacco ha bloccato l’operatività di un fornitore strategico, generando effetti a catena su altri operatori pubblici.
Crescono DDoS e phishing
Crescono gli attacchi DDoS che sono passati da 336 nel primo semestre 2024 a 598 nel 2025 (+77%). Più preoccupante è la dilagazione del phishing: 1.530 Url malevoli individuate, con campagne attive anche nel settore energetico. E sono raddoppiati i casi di esposizione dati: 186 contro i 91 del 2024. In molti casi si è trattato di fughe da piattaforme di streaming, e-commerce e PA. Preoccupa soprattutto il furto di credenziali bancarie, rivendute poi nei circuiti illegali del dark web.
Allarme rosso per il furto di credenziali bancarie: centinaia di account sono finiti nei circuiti underground.
Il Csirt ha individuato 638 IP vulnerabili su piattaforme critiche (come Citrix NetScaler) e 1.977 dispositivi infettati da botnet (IcedID, Smokeloader, Bumblebee). A marzo, 1.245 telecamere italiane erano già state assorbite dalla botnet Eleven11bot.
Difesa attiva: Csirt in trincea
Il Computer Security Incident Response Team italiano ha emesso 23.144 allerte preventive nei primi sei mesi (+9% sul 2024). Sono stati anche pubblicati 329 avvisi tecnici, con contromisure dettagliate per arginare vulnerabilità specifiche.
La tempestività degli interventi, sottolinea l’Acn, ha limitato gli effetti di numerosi attacchi, soprattutto nel caso delle campagne DDoS. Una difesa che oggi si gioca sempre più sulla capacità di previsione e non solo sulla reazione.
Il cybercrime costa caro: secondo le stime dell’Acn, l’impatto economico degli attacchi nel 2025 potrebbe superare i 66 miliardi di euro, pari al 3,5% del PIL nazionale. Le proiezioni per il 2026 parlano di una possibile crescita fino a 160 miliardi, trasformando la cybersicurezza in una questione strategica per la competitività economica del Paese.
Frattasi: “Servono IA, cultura e capitale umano”
In un’intervista rilasciata al quotidiano Il Tempo, il prefetto Bruno Frattasi, direttore generale dell’Agenzia per la cybersicurezza nazionale , ha tracciato un bilancio preciso della situazione e indicato la rotta per contrastare la crescente ondata di minacce digitali.
“Nel primo semestre del 2025 abbiamo registrato 1.549 eventi cyber, con 346 incidenti a impatto confermato. Sono in aumento gli attacchi DDoS ma, mentre in precedenza comportavano molti disservizi, oggi siamo in grado di mitigarne sensibilmente l’impatto, sicché le interruzioni e/o le sospensioni dei servizi digitali risultano molto limitate rispetto a prima”.
Ma la vera frontiera della difesa non è (solo) tecnologica. È culturale. “Non sempre un incidente informatico è un attacco. Serve fare cultura della cybersicurezza e partire già dalla scuola. Abbiamo lanciato un vademecum per i dipendenti pubblici e una campagna per le piccole e medie imprese. Spesso sono comportamenti inappropriati a esporci a minacce. Abbiamo anche bandito un concorso per 90 assunzioni con orientamento tecnico-scientifico: il capitale umano è il primo presidio nei confronti di un attacco”.
A rafforzare il presidio tecnologico, Frattasi ha annunciato l’avvio del progetto Hypersoc, una piattaforma avanzata per raccogliere e analizzare i dati provenienti dalle infrastrutture critiche del Paese, utilizzando supercalcolo e intelligenza artificiale. “Il Parlamento sta licenziando un provvedimento che potrà rendere l’Agenzia l’autorità di vigilanza del mercato per quel che riguarda l’intelligenza artificiale. Con Hypersoc disporremo di una conoscenza più profonda della minaccia, facendo anche analisi predittiva”.
Una visione, quella del prefetto, che punta a un equilibrio strutturale tra evoluzione tecnologica e governance: “La cybersicurezza non è solo tecnica: è una condizione fondamentale per la sovranità digitale. Innovazione e regolazione sono l’una funzionale all’altra“.
La risposta alla cybercrisi 2025 non passa quindi solo da firewall e algoritmi, ma da un sistema-Paese capace di educarsi, dotarsi di competenze e fare sistema. Perché in un mondo digitale sotto assedio, la sovranità passa anche dal codice e dalla consapevolezza.
