Nel 2024 gli incidenti cyber in Italia sono scresciuti del 15%. Il 70% dei casi è dovuto a phishing e ransomware. CybergON analizza 54.000 asset di 173 aziende.
Autore: Redazione SecurityOpenLab
Gli incidenti cyber in Italia continuano a crescere: nel 2024 l’incremento è stato del 15% rispetto all’anno precedente, mentre a livello globale l’aumento nello stesso periodo è stato del 27%. Nel 70% dei casi, phishing e ransomware hanno rappresentato le cause principali degli incidenti più impattanti durante il periodo di analisi. I dati emergono dal nuovo Data Gathering, Report annuale sullo stato della cyber security in Italia nel 2024 realizzato da CybergON. L’indagine si basa sull’attività di monitoraggio e risposta su un campione di 173 aziende appartenenti a diversi settori merceologici, con un dataset che prende in considerazione circa 54.000 asset IT suddivisi tra hardware e software.
Quanto emerso dalle analisi indica una nuova normalità in cui l’incidente informatico è parte integrante della quotidianità aziendale. Nel corso del 2024, infatti, i sistemi di monitoraggio di CybergON hanno rilevato circa 13.000 incidenti informatici e oltre 20.500 anomalie nei sistemi aziendali italiani. Le anomalie sono segnalazioni di comportamenti potenzialmente sospetti, come log ad orari insoliti o accessi multipli dallo stesso account, che non sempre corrispondono a un attacco in corso ma richiedono un’analisi approfondita da parte del SOC. Gli incidenti, invece, sono veri e propri tentativi di violazione dell’infrastruttura IT: nella maggior parte dei casi si tratta di eventi con impatto minimo, come la ricezione di file sospetti o la compromissione di un’utenza, ma 29 incidenti hanno avuto conseguenze significative sulla business continuity delle aziende colpite.
Se da un lato le imprese hanno rafforzato i sistemi di protezione grazie anche agli obblighi normativi, dall’altro le tecniche di attacco si sono fatte più sofisticate e accessibili, soprattutto grazie all’AI. Il contesto italiano, secondo CybergON, riflette un panorama in cui la crescita degli incidenti cyber è sostenuta dall’evoluzione degli strumenti di attacco e in particolare la GenAI e i modelli as-a-service che rendono accessibili tecniche sofisticate anche a criminali con competenze tecniche limitate.
In particolare, l’AI permette di generare codici dannosi più efficaci e di migliorare la qualità delle campagne di phishing e dei siti web contraffatti, mentre il Ransomware-as-a-Service consente a chiunque di acquistare malware già pronti realizzati da sviluppatori specializzati, per poi diffonderli nella propria rete criminale.
Tra gli incidenti gravi gestiti nel 2024, la metà è stata causata da campagne di phishing. L’analisi delle comunicazioni malevole mostra che l’11% delle email processate da CybergON è stato contrassegnato come sospetto. Tra queste, il 46,8% conteneva allegati pericolosi, mentre il 30,9% riguardava campagne di phishing e whaling. Il dato sottolinea quanto la formazione del personale sia fondamentale per ridurre i rischi legati ai messaggi malevoli: la consapevolezza degli utenti rappresenta una delle prime linee di difesa contro il cybercrime.
Sul fronte delle vulnerabilità, il 2024 ha visto un incremento del 20% delle vulnerabilità attivamente sfruttate rispetto all’anno precedente. Tra quelle classificate come critiche, il 23% è stato indicizzato come zero day. Le falle sfruttate sono prevalentemente legate a sistemi aziendali esposti su Internet o utilizzati dalla supply chain, a riprova di un cybercrime sempre più efficace e mirato. Il numero di patch installate è cresciuto del 19% rispetto al 2023, segno di una maggiore attenzione verso l’aggiornamento e la remediation, ma anche di un perimetro di attacco in costante evoluzione.
Chiudiamo con le conseguenze di un attacco cyber: secondo CybergON, il tempo di fermo in caso di attacco pervasivo varia tra i 7 e i 14 giorni, mentre il tempo necessario per recuperare almeno l’80% dell’operatività può oscillare tra le 2 settimane e i 2 mesi, a seconda dell’organizzazione, delle attività svolte e delle procedure di remediation previste.
Un aspetto interessante emerso dal report riguarda la geografia degli attacchi. Nel 2024 si osservano due trend principali: da un lato, la diminuzione dei tentativi di attacco provenienti da Paesi emergenti, e la crescita delle connessioni generate dagli Stati occidentali, attribuibile al rafforzamento delle difese aziendali che richiede tecniche di attacco più sofisticate e attori più competenti. Inoltre, si registra un aumento degli attacchi condotti tramite grossi cloud provider europei, utilizzati come punto di partenza sia contro le grandi aziende sia contro le PMI.
Dall’altro lato, si assiste a una crescita esponenziale delle attività malevole provenienti dall’Italia stessa, che nel segmento delle piccole aziende arriva a rappresentare il 98% degli attacchi totali. Le motivazioni sono molteplici: il costo inferiore delle competenze tecniche nel mercato del cybercrime italiano e la necessità di utilizzare risorse locali per eludere i sistemi di difesa basati sulla sorgente delle connessioni, dato che molte aziende considerano affidabili le connessioni nazionali.
L’analisi della provenienza degli attacchi varia in base alla dimensione aziendale delle vittime. Per le grandi aziende, la maggior parte dei tentativi di attacco proviene da Spagna, Azerbaijan, Bulgaria, Italia e Romania. Nel caso delle medie imprese, i principali Paesi di provenienza sono Irlanda (dove si trovano i principali data center AWS in Europa), Azerbaijan, Germania, Italia e Canada. Come accennato sopra, per le piccole aziende l’Italia domina la classifica seguita da Germania, Olanda, Russia e Hong Kong.
Dal punto di vista delle tipologie di attacco, le campagne di phishing restano stabili rispetto al 2024, mentre sono in crescita gli attacchi ransomware. La stabilità del phishing è spiegata dal fatto che attacco e difesa si evolvono di pari passo: le aziende investono nella formazione degli utenti e in misure di protezione dell’identità; le campagne malevole diventano sempre più sofisticate grazie all’AI generativa. L’aumento degli attacchi ransomware, invece, è legato anche alle tensioni geopolitiche e alla crescente attività di gruppi criminali, spesso con base o simpatizzanti in Russia.
Un altro elemento che contribuisce all’aumento degli incidenti rilevati è l’entrata in vigore di normative come DORA e NIS2, che impongono standard di sicurezza più elevati e una maggiore trasparenza nella gestione degli incidenti. In particolare, ricordiamo che NIS2 introduce l’obbligo, a partire dal 2026, di comunicare gli incidenti all’Agenzia Nazionale per la Cyber Security, promuovendo la condivisione di informazioni per limitare la diffusione degli attacchi e velocizzare le risposte. Si prevede quindi un trend di crescita nelle segnalazioni di incidenti per tutto il 2025, con un’ulteriore impennata nel 2026.