Attacchi ad alta severità in crescita del 20,8% nel 2025; ransomware nell'88% delle violazioni alle PMI. I sette errori operativi che amplificano il rischio.
Autore: Redazione SecurityOpenLab
Gli attacchi cyber in generale sono rimasti sostanzialmente stabili nel 2025 e il volume complessivo delle intrusioni è rimasto quasi invariato (-0,3%), ma i tentativi di sfruttamento di vulnerabilità ad alta e media severità hanno raggiunto 13 miliardi, con una crescita del 20,8% su base annua. Ogni tentativo è più preciso, più intenzionale, e lascia meno margine di errore ai difensori, a dimostrazione di un'industria del cybercrime che ha completato la propria maturazione operativa. A fotografarla è il SonicWall 2026 Cyber Protect Report, che si basa sui dati telemetrici raccolti dall'infrastruttura globale di SonicWall nel corso del 2025, ma quest'anno ha l'obiettivo dichiarato di identificare i pattern operativi che espongono le aziende, con particolare attenzione alle PMI e agli MSP che le proteggono. Il risultato è una tassonomia di sette errori ricorrenti che emergono con una frequenza sistematica.
Il primo dato che merita una lettura attenta è quello che riguarda i ransomware: una selezione più attenta dei bersagli ha portato a un calo complessivo dei rilevamenti (-36,6%) ma a un aumento dei danni causati, con una sproporzione a svantaggio delle PMI. Secondo il Verizon 2025 Data Breach Investigations Report citato nel documento di SonicWall, l'88% delle violazioni alle PMI ha coinvolto ransomware, contro il 39% delle grandi aziende.
Sul versante IoT, i rilevamenti sono cresciuti dell'11% su base annua e il traffico bot malevolo ha raggiunto il 37% del traffico internet globale, con oltre 36.000 scansioni di vulnerabilità generate al secondo da sistemi automatizzati. La conseguenza operativa è che nessuna organizzazione con una presenza online è di fatto fuori dal perimetro di rischio, indipendentemente da dimensioni o settore.
C’è poi la nota dolente del patching, riassunta in un numero più che esplicativo: la vulnerabilità Log4j scoperta nel 2021, è stata bersaglio di oltre 825 milioni di tentativi di sfruttamento nel 2025. Significa che, a quattro anni dalla divulgazione, gli attaccanti continuano a trovare abbastanza sistemi senza patch da rendere ancora proficuo un attacco di questo tipo. Del resto è comprensibile in una situazione in cui i tempi di patching medi sono lunghissimi: nel settore finanziario si arriva a 102 giorni per le vulnerabilità ad alta severità.
Ma veniamo agli errori da cui origina la maggiore esposizione al rischio. Il primo e più diffuso errore operativo che il report identifica è trascurare i fondamentali: identità, cloud e compromissione delle credenziali sono responsabili dell'85% degli alert di sicurezza azionabili rilevati da SonicWall. In altre parole, la porta d'ingresso preferita degli attaccanti è una password rubata che buca un accesso non protetto da MFA - e il 66% delle PMI a livello globale non ha ancora implementato l'autenticazione multifattore.
Il secondo errore è la falsa sicurezza. L'80% dei responsabili IT dichiara di poter contenere una violazione in meno di otto ore; i dati IBM mostrano che il tempo medio di permanenza degli attaccanti nell'ambiente prima della detection è di 181 giorni, a dimostrazione che la distanza tra percezione e realtà è sistematica, e nelle PMI è amplificata dall'assenza di un team di security dedicato che possa fornire una valutazione indipendente.
Il terzo errore riguarda l'accesso eccessivo. Nel 41% degli ambienti violati analizzati erano presenti regole firewall di tipo any/any; solo l'8% degli ambienti colpiti aveva una segmentazione adeguata, che non impedisce la violazione iniziale, ma determina la differenza tra un incidente contenuto e un'infezione ransomware totale.
Il quarto errore è la postura reattiva. Il 44% di tutti gli alert di sicurezza non viene investigato a causa del sovraccarico operativo e della scarsità di personale qualificato; il 75% degli analisti SOC non ha tempo per attività proattive come il threat hunting; il 90% dei SOC è sopraffatto da backlog e falsi positivi. Nelle PMI, gli alert restano non revisionati per giorni, se vengono revisionati.
Il quinto errore riguarda le scelte degli investimenti in security subordinate al budget disponibile. SonicWall stima che una singola violazione in una PMI possa superare i 4,91 milioni di dollari inclusi downtime e costi di recovery. Chi ha un piano di incident response strutturato risparmia in media 1,23 milioni di dollari per violazione rispetto a chi ne è privo.
Il sesto errore è la dipendenza da modelli di accesso legacy. Il 48% delle violazioni analizzate da SonicWall nel 2025 è stato attribuito a credenziali VPN compromesse come vettore di accesso iniziale, con l'assenza di MFA come fattore contributivo primario. Le CVE relative ai VPN sono cresciute dell'82,5% nel periodo analizzato, con circa il 60% classificate ad alta o critica severità. Il 90% delle organizzazioni ha almeno un problema con la propria infrastruttura VPN attuale. Il modello network-first, basato su autenticazione unica e accesso ampio alla rete, è ormai inadeguato.
Il settimo errore chiude il ciclo tornando al punto di partenza: inseguire l'hype tecnologico senza aver consolidato l'esecuzione operativa. Gli attacchi condotti con il supporto di strumenti AI sono aumentati dell'89% nel 2025 rispetto all'anno precedente, e l’AI può agire da moltiplicatore anche nella difesa. Il problema è che il 90% delle organizzazioni non ha ancora la maturità operativa necessaria per sfruttare efficacemente questa capacità. E acquistare uno strumento AI con MFA non ancora configurato, patch in ritardo e i log non letti non chiude i gap che gli attaccanti continuano a sfruttare.
A questo proposito è fondamentale il ruolo di MSP e MSSP, che possono fornire alle PMI il necessario per un approccio strategico alla cybersecurity, con disciplina operativa, verifica effettiva della postura di sicurezza. A valle vengono poi gli investimenti in strumenti, o meglio ancora in servizi capaci di garantire la copertura continuativa che una PMI non può sostenere da sola.