Nel 2025 un attacco ogni 21,5 secondi a livello globale. In Italia crescono credenziali rubate, phishing potenziato dall'AI e incidenti con impatto operativo grave.
Autore: Redazione SecurityOpenLab
Nel 2025 i tentativi di attacco rilevati e bloccati a livello globale hanno superato i 678 milioni, pari a 1,86 milioni al giorno, un attacco ogni 21,5 secondi. Il dato emerge dal report Data Gathering 2026 di Elmec Informatica, che fotografa lo stato annuale della cybersecurity in Italia grazie all’analisi dei dati del SOC di Elmec durante lo svolgimento delle attività di difesa. Dai dati emergono 21.158 anomalie, ossia segnalazioni generate dai sistemi di monitoraggio a fronte di comportamenti potenzialmente sospetti, come accessi in orari insoliti o connessioni simultanee dallo stesso account; non si traducono automaticamente in attacchi confermati, ma richiedono analisi.
Gli incidenti, ovvero i tentativi di violazione effettivi, sono stati 12.472, di cui 36 hanno avuto conseguenze significative sull'operatività delle aziende colpite, in aumento rispetto ai 29 gestiti nel 2024. La distribuzione per tipologia mostra ransomware al primo posto (27,8% degli incidenti gravi), seguita da compromissione degli account (25%), accesso non autorizzato (22,2%), Business Email Compromise, infostealer ed esfiltrazione dati (8,3% ciascuno).
La minaccia più grave per impatto operativo resta il ransomware, ma con una diminuzione degli attacchi con cifratura dei dati, a favore del modello di doppia estorsione in cui i dati vengono esfiltrati prima della cifratura, così da rafforzare la richiesta di riscatto con la minaccia di pubblicare le informazioni sul dark web. Questo approccio cambia sostanzialmente il quadro di rischio perché il backup non è più una garanzia, dato che l'azienda rimane esposta alla minaccia di divulgazione anche se riesce a ripristinare autonomamente i sistemi.
Nel campione Elmec sono stati gestiti 10 casi di ransomware nel 2025, di cui 6 attribuiti al gruppo Akira, che è oggi uno dei più prolifici a livello globale con oltre 1.100 attacchi rivendicati, prevalentemente ai danni di aziende manifatturiere e di servizi. I malware sviluppati dal gruppo sono progettati per esfiltrare i dati in circa due ore dall'accesso iniziale, che avviene tipicamente tramite vulnerabilità VPN o credenziali compromesse.
Proprio il furto di credenziali è diventato il vettore di accesso iniziale più critico. Secondo i dati delle principali threat intelligence, nel solo primo semestre 2025 sono state sottratte 1,8 miliardi di credenziali tramite infostealer, con un incremento dell'800% rispetto ai sei mesi precedenti. Il 54% delle organizzazioni colpite da ransomware presentava i propri domini in dump di credenziali rubate, a conferma che il furto di credenziali è il punto di ingresso preferito per gli attacchi più gravi.
Il dato interno del campione Elmec è rilevante: su oltre 140.000 utenze monitorate, il 25% aveva la password impostata come never expired e il 6% utilizzava una password già esposta nel dark web. Gli infostealer sono la famiglia di malware più sfruttata per campagne malevole in Italia, con una quota di circa il 60% secondo i dati AGID. Le famiglie più attive a livello globale sono Lumma, Vidar e RedLine, disponibili nel modello Malware-as-a-Service a partire da 200 dollari al mese.
Il phishing resta una delle minacce più difficili da contenere, non tanto per la sua sofisticazione tecnica quanto per il suo costante adattamento al comportamento umano. I dati delle campagne di simulazione condotte da Elmec su 16.000 email inviate a dipendenti aziendali mostrano che il 50,7% ha aperto il messaggio di phishing, il 55% di chi ha aperto ha cliccato il link malevolo e solo il 9,2% ha segnalato correttamente il messaggio come sospetto. L'8,6% ha inserito le proprie credenziali.
Il confronto con il benchmark globale è significativo: il tasso medio di suscettibilità al phishing tra dipendenti non formati è del 34,3%, mentre il campione Elmec si attesta al 50,7%. La differenza è in parte spiegata dall'impatto dell'AI generativa sulle campagne di phishing: i messaggi costruiti con AI raggiungono un click-through rate del 54%, contro il 12% delle email redatte manualmente. La formazione strutturata rimane l'unica contromisura efficace sul fattore umano: i dati globali indicano che dopo 12 mesi di training continuativo la suscettibilità al phishing cala dell'86%.
Interessante è anche il capitolo delle vulnerabilità. Nel 2025 sono state pubblicate 48.185 CVE a livello globale, un record assoluto, con punteggio medio CVSS di 6,60 e 3.984 classificate come critiche (8,3%). La CISA ha aggiunto al catalogo KEV 238 nuove voci. Il 28% delle CVE individuate nel 2025 è stato sfruttato entro le prime 24 ore dalla pubblicazione, mentre metà delle vulnerabilità note resta senza patch per circa 55 giorni, secondo i dati CISA. Il team di patching di Elmec ha installato circa 29.000 aggiornamenti di sicurezza nel corso del 2025, pari a una media di 137 patch per azienda del campione, un livello di copertura che il report posiziona significativamente al di sopra della media di mercato.
Uno dei dati più interessanti del report riguarda la provenienza geografica degli attacchi. Analizzando il 20% del campione più colpito, l'80% dei tentativi proviene da sorgenti non attribuibili a una singola area geografica (fenomeno legato alle tecniche avanzate di mascheramento dell'origine reale usate soprattutto dagli attori statali e dagli APT). Del restante 20% attribuito geograficamente, la distribuzione per paese di provenienza vede Irlanda al primo posto (5,4%, circa 36 milioni di attacchi), seguita da Stati Uniti (4,5%, 30 milioni), Italia (2,7%, 18 milioni) e Germania (2,6%, 17 milioni).
Rispetto agli anni precedenti, i paesi emergenti e le nazioni del blocco orientale sono scomparsi dalla top 4. L'ipotesi avanzata nel report è che i gruppi criminali si siano spostati verso paesi occidentali politicamente meno sospetti, ma dotati di infrastrutture IT avanzate a cui appoggiarsi. Rilevante è probabilmente l’alta concentrazione di datacenter dei grandi cloud provider in Irlanda e negli Stati Uniti. L'Italia al terzo posto della classifica è ricondotto sia alla crescita dei datacenter di provider internazionali sul territorio nazionale, sia al fatto che gli attacchi provenienti dallo stesso paese di destinazione aggirano più facilmente i primi livelli di difesa basati sulla geolocalizzazione.
Il report non formula previsioni ottimistiche. L'AI generativa entrerà nelle strategie offensive come strumento per costruire campagne di phishing più efficaci, come vettore di esfiltrazione attraverso l'uso improprio di assistenti virtuali su account personali non protetti, e come superficie di attacco in quanto i sistemi AI sono soggetti a vulnerabilità sfruttabili per accesso non autorizzato. Anche il ransomware beneficerà dell'AI per la scrittura del codice e la distribuzione delle campagne, abbassando ulteriormente la barriera tecnica per nuovi attaccanti.
Sul fronte dell'identità digitale, i trend indicano la progressiva affermazione dell'autenticazione passwordless con passkey e l'utilizzo di autenticazioni che richiedono azioni spontanee come espressioni facciali o analisi vocale, per contrastare i deepfake. La cloud security rimane una priorità, con il focus sulle violazioni legate a identità e accessi, configurazioni errate e rischi di esfiltrazione dati. L'OT security rimane una criticità aperta, con gruppi specializzati nella violazione delle macchine di produzione, in un contesto in cui la maggior parte delle aziende non dispone ancora di sistemi adeguati a rilevare queste minacce.