L’Agenzia per la Cybersicurezza Nazionale (ACN) è un attore fondamentale nello scenario della cybersecurity in Italia, e ha un osservatorio fondamentale sui trend delle minacce e sull’attuazione delle normative che riguardano la sicurezza informatica.

Ogni intervento pubblico di esponenti dell’agenzia è quindi fonte di spunti, informazioni e aggiornamenti importanti per gli addetti ai lavori nel nostro Paese. Recentemente Luca Montanari, Capo Divisione Stato della Minaccia di ACN, ha preso parte a una tavola rotonda all’evento #SecurityBarcamp di Trend Micro Italia, con diverse considerazioni su impatto dell’AI, NIS2, ransomware, e sulle Olimpiadi Milano-Cortina attualmente in pieno svolgimento.

“In ACN abbiamo lo Csirt, che è il centro che raccoglie tutte le notifiche di incidenti dai soggetti che hanno l'obbligo di segnalarceli”, ha spiegato Montanari. “Noi analizziamo tutti questi dati, e questa è la nostra attività reattiva. Poi abbiamo anche un’attività proattiva, in cui andiamo a cercare le compromissioni e qualunque tipo di rivendicazione. Abbiamo iniziato proprio quest'anno a utilizzare l'AI anche per analizzare le rivendicazioni che troviamo su social network, dark web, e siti di data leaks, cioè i siti dove gli attori ransomware rivendicano gli attacchi e chiedono i riscatti”.

Numeri degli attacchi in continuo aumento: guardiamo il lato positivo

Sulla base di queste analisi, una prima considerazione di Montanari è che il continuo aumento degli attacchi in Italia registrato da tutti gli analisti non è una notizia del tutto negativa. “Nel secondo semestre 2025 l'ACN ha censito 1253 eventi cyber, quindi un aumento del 30% rispetto allo stesso semestre del 2024. Gli eventi crescono da sempre, ma negli ultimi tempi alcune componenti di questa crescita vanno viste anche con un'ottica positiva. Prima di tutto molti degli eventi che censiamo adesso derivano dalla nostra attività proattiva. Quindi sono cresciuti gli attacchi, ma è anche cresciuta la nostra capacità di trovarli”.

“Inoltre in questi ultimi anni sono state emanate diverse norme che obbligano imprese ed enti pubblici a notificarci gli attacchi subiti: questi sono eventi che prima non vedevamo, quindi è fisiologico un aumento”.

Altro elemento positivo è che in questo semestre a una crescita così importante degli eventi corrisponde addirittura un notevole calo (-25%) di quelli con impatto confermato. “Un contributo l’ha dato anche la nostra intensa attività di allertamento. Mandiamo circa 50.000 comunicazioni l'anno per segnalare qualunque tipo di vulnerabilità grave ai soggetti italiani”.

AI, per ora il contributo principale al cybercrimine è nel phishing

Per quanto riguarda il crescente utilizzo dell’AI agli attacchi, una cosa importante da premettere, sottolinea Montanari, è che gli incidenti vanno analizzati a fondo per capire se sono stati fatti con l’AI. “Non è una cosa facile. Però vediamo dei cambiamenti nei trend, nei numeri, che ci fanno pensare all’uso dell’AI”.

“Sicuramente possiamo dire che la minaccia sta cambiando. Per esempio abbiamo visto una crescita importante negli ultimi due anni dell'esposizione di dati, del phishing e delle compromissioni di caselle email. Questo deriva dal forte aumento della qualità degli attacchi: le email di phishing oggi sono perfette, completamente diverse da quelle di 5 anni fa, perché fare un phishing accurato è molto facile utilizzando gli LLM”.

La conseguenza è che tra i vettori d’ingresso le credenziali valide hanno superato lo sfruttamento di vulnerabilità. “Presumibilmente sono credenziali esfiltrate tramite campagne di phishing ben fatte. Questo per ora è il contributo principale dell’AI che vediamo”.

NIS2: "L'obiettivo non è fare sanzioni, non ne abbiamo fatta neanche una"

Una delle fonti dell’ACN come abbiamo visto sono le notifiche di imprese e organizzazioni rese obbligatorie da alcune normative. La NIS2 per esempio impone la notifica da parte di soggetti essenziali e importanti di incidenti informatici significativi all'ACN con tempistiche severe dall'1 gennaio 2026: pre-notifica entro 24 ore, notifica entro 72 ore e relazione finale entro 1 mese, con sanzioni fino a 10 milioni di euro o al 2% del fatturato per le mancate notifiche.

“Non pubblichiamo i numeri delle notifiche”, spiega Montanari. “Ma posso dire che abbiamo visto una crescita importante, sono quasi raddoppiate rispetto all’anno scorso. Voglio sottolineare che l’obiettivo in questo caso non è fare sanzioni: non ne abbiamo fatta neanche una finora. L’obiettivo è aumentare la condivisione di informazioni, far capire che le misure imposte dalla NIS2 vanno implementate per proteggere il tessuto imprenditoriale italiano e il patrimonio informativo della pubblica amministrazione”.

I soggetti interessati dalla NIS2 che si sono registrati sul portale ACN sono 23.000: “Ci hanno conosciuto, sanno che hanno quest’obbligo, e molti hanno già iniziato a notificare volontariamente”. La NIS2 infatti consente ai soggetti essenziali/importanti di segnalare anche “quasi-incidenti” (near-miss), minacce o eventi cyber che non superano la soglia di significatività.

Ransomware, attacchi ai soggetti critici in calo: "Primo obiettivo i soldi"

Passando al ransomware, “in base al nostro punto di osservazione dirò una cosa in controtendenza: il numero di eventi è abbastanza stabile da un paio d’anni", spiega Montanari. "Abbiamo rilevato 54 casi di ransomware nel secondo semestre 2025, contro 48 nel secondo semestre 2024. Cambiano i settori e i soggetti attaccati, e gli impatti. L’obiettivo dell’attore ransomware oggi sono soprattutto i soldi. Se esfiltra dati lo fa solo per avere un'altra leva di ricatto". Con l'AI è più facile e veloce sfruttare vulnerabilità, e loro puntano soprattutto a essere pagati".

Per questo gli attacchi puntano soprattutto le piccole e medie imprese. Il numero di attacchi ransomware che colpiscono soggetti critici infatti sta diminuendo. “Nel secondo semestre 2024 il 4,7% degli attacchi ransomware ha colpito soggetti critici, nel secondo semestre 2025 siamo scesi all'1%. Ma questa non è una buona notizia, perché significa appunto che l’incidenza di PMI attaccate aumenta, e quando il ransomware colpisce una PMI la devasta". Mediamente infatti una PMI è meno preparata ad affrontare un attacco ransomware di un soggetto critico”.

Pagare non significa liberarsi dell'attaccante. E presto potrebbe diventare illegale

Questo però non significa che sia meglio cedere al ricatto e pagare: tutt’altro, continua Montanari. “Primo non si deve pagare perchè è vero che con la normativa vigente non è illegale pagare, ma può essere considerato favoreggiamento della criminalità organizzata. E soprattutto quando uno paga l'attaccante non sempre se ne va: magari decifra, ma ha tutta la capacità di ricifrare e ricattare di nuovo, quindi non se ne esce così facilmente”.

Gli attacchi ransomware oggi sono molto complessi, quasi quanto gli APT, osserva Montanari: “Cambia solo la finalità, quindi quello che si deve fare è adottare una postura di sicurezza corretta come per tutti gli altri attacchi, bisogna attrezzarsi per reagire al ransomware: la raccomandazione ACN è non pagare. A questo aggiungo che in Europa si sta discutendo, il Regno Unito è il più avanti su questo punto, di rendere illegale il pagamento del riscatto: anche in Italia se ne comincia a parlare, e ci aspettiamo che a tendere si arriverà a questo”.

Olimpiadi Milano-Cortina: "Ci stiamo lavorando da oltre un anno"

Infine alcune considerazioni sull’evento del momento in Italia, le Olimpiadi di Milano-Cortina. “Proprio oggi (il 4 febbraio, ndr) dieci dei nostri specialisti sono partiti per Milano, dove si fermeranno per tutta la durata dell’evento, comprese le Paralimpiadi. Sui grandi eventi è importante partire molto tempo prima, e su questo stiamo lavorando da più di un anno”.

Il modello di riferimento è quello delle Olimpiadi di Parigi 2024. “I francesi lì hanno fatto un gran lavoro: abbiamo fatto un accordo di collaborazione sia di gestione eventi cyber sia di scambio tecnico, abbiamo raccolto informazioni su come hanno fatto e abbiamo adottato un modello simile”.

Anche per grandi eventi come questo, la cosa più importante è l'information sharing. “Per questo è cruciale che una parte del team sia in loco, perché stando a contatto con altre istituzioni, con la fondazione, con il SOC e tutti i partner dell'Olimpiade l'informazione arriva a tempo zero, e si riduce il tempo di risposta a un eventuale attacco”.

Montanari cita gli attacchi contro le infrastrutture di Milano-Cortina, in particolare gli hotel, dei giorni immediatamente precedenti all’evento. “Sono DDOS a opera di attivisti filorussi, eventi con bassissimo impatto tecnico, un’oretta di indisponibilità del sito web. Purtroppo i media hanno diffuso allarmismi, titoli come "l'Italia sotto attacco". In realtà queste azioni, che un tempo erano dirompenti, adesso anche grazie alle nostre attività di allertamento e alle misure tecniche che mettiamo in atto tempestivamente, hanno impatti veramente irrisori”.