Nel 2025 gli attacchi ransomware sono cresciuti del 51% a livello globale; in Italia Manufacturing e IT i settori più colpiti, con la geopolitica che amplifica l'hacktivismo.
Autore: Redazione SecurityOpenLab
Nel 2025 il Security Operations Center di Yarix ha esaminato oltre 522mila eventi di sicurezza, di cui oltre 158mila si sono evoluti in incidenti veri e propri, con un incremento medio mensile dell'8% rispetto all'anno precedente. Gli eventi più gravi sono aumentati del 62% su base annua per via della trasformazione qualitativa nel modus operandi degli attaccanti. È il quadro che emerge dallo Y-Report 2026, giunto alla nona edizione.
I dati confermano un'evoluzione verso modelli di attacco più distribuiti, automatizzati e adattivi. Gli attaccanti combinano in modo sempre più efficace vulnerabilità note, credenziali compromesse e superfici esposte, riducendo il tempo che intercorre tra l'accesso iniziale e il potenziale impatto. Inoltre, gli eventi osservati sono inoltre sempre meno isolati: nella maggior parte dei casi fanno parte di catene di attacco articolate, in cui più tecniche vengono combinate per aggirare i controlli di sicurezza.
L'analisi settoriale condotta da Yarix mostra una concentrazione degli attacchi verso organizzazioni ad alta criticità operativa. Il Manufacturing è il comparto più colpito con il 17,9% degli incidenti, seguito dall'IT con l'8,3%. Nel primo caso pesano sistemi produttivi obsoleti con risorse distribuite su più nodi, che ampliano la superficie di esposizione; nel secondo incidono la quantità e la sensibilità dei dati trattati e l'elevato numero di servizi accessibili dall'esterno.
A livello territoriale, la Lombardia concentra il 36% delle vittime ransomware nazionali, seguita da Emilia-Romagna con il 13%, Lazio e Veneto con il 10% ciascuna, Piemonte con l'8%. La distribuzione riflette la concentrazione del tessuto produttivo e industriale del Paese.
A livello globale, Yarix ha monitorato nel 2025 oltre 7.100 attacchi ransomware rivendicati pubblicamente, con un aumento del 51% rispetto al 2024. Il numero di gruppi attivi è cresciuto del 35%, portando il totale a 124 formazioni censite; la Top 10 concentra da sola circa il 56% degli attacchi complessivi, mentre il restante 44% si distribuisce tra decine di gruppi con impatto più limitato. La minaccia è sempre più frammentata: accanto a pochi attori dominanti, proliferano soggetti minori che abbassano la soglia di accesso al crimine ransomware.
Sul piano geografico, gli Stati Uniti restano il Paese più colpito con il 52% degli attacchi; seguono Canada con il 6% e i principali Paesi dell'Europa occidentale, che insieme raggiungono il 10%. L'Italia, dopo anni nella Top 5, scende al sesto posto. Le vittime nazionali sono prevalentemente piccole imprese, che rappresentano il 67% del totale, con una percentuale superiore di 10 punti rispetto alla media globale; le medie imprese pesano per il 18%.
Parallelamente alla criminalità organizzata, il 2025 ha registrato una forte attività di hacktivismo contro obiettivi italiani, con attacchi DDoS e defacement utilizzati come strumenti di pressione e propaganda. Le campagne si sono sviluppate a ondate, con picchi in corrispondenza di eventi geopolitici ad alta visibilità. Il primo evento è avvenuto tra giugno e luglio, in coincidenza con l'avvicinamento al vertice NATO in cui gli alleati hanno assunto impegni significativi in materia di spesa per la difesa, e con la Conferenza sulla Ripresa dell'Ucraina ospitata a Roma il 10 e 11 luglio. In entrambi i casi i collettivi hacktivisti filorussi hanno sfruttato i tempi all’ordine del giorno per orchestrare azioni dimostrative verso obiettivi italiani, utilizzando le rivendicazioni cyber come strumento di pressione comunicativa più che come vettore di danno tecnico duraturo.
Un secondo picco (circa il 23% delle campagne), si è concentrato tra settembre e ottobre, fortemente influenzato dall'anniversario del 7 ottobre e dalle dinamiche legate al conflitto tra Israele e Hamas. Collettivi pro-palestinesi e pro-arabi hanno esteso le proprie azioni verso Paesi percepiti come sostenitori di Israele, tra cui l'Italia. Tra i bersagli colpiti figurano istituzioni ad alto valore simbolico fra cui alcune università italiane in concomitanza con proteste studentesche pro-Palestina già in corso, in un'evidente logica di amplificazione reciproca tra mobilitazione fisica e attivismo digitale. Nelle rivendicazioni ricorre con frequenza il riferimento alla Sumud Flotilla, citata come simbolo di resistenza e come elemento narrativo utile a rafforzare il messaggio politico delle operazioni cyber.