Nel 2025 Fastweb e Vodafone hanno rilevato sulla propria rete in Italia 87 milioni di eventi di sicurezza, il 26% in più rispetto all'anno precedente. Un numero che racconta un Paese sempre più nel mirino dei threat actor, ma che nasconde dinamiche più articolate rispetto a un semplice aumento lineare degli attacchi. I dati, elaborati con il supporto di 7Layers, sono stati presentati da Silvio Ferrari, Manager of Cyber Security products di Fastweb + Vodafone, nell'ambito del Rapporto Clusit 2026. Rispetto all’analisi di Clusit (che tiene conto solo degli attacchi andati a buon fine), in questo caso il conteggio riguarda tutto il traffico malevolo che transita sulla rete, inclusi i tentativi di attacco bloccati.

Il dato più allarmante riguarda le infezioni malware, cresciute del 116% rispetto al 2024. Altrettanto preoccupante è la situazione nel mondo IoT consumer, dove lo sfruttamento di tre vulnerabilità nei sistemi Android legati a dispositivi di fascia bassa ha prodotto un aumento degli incidenti dell'1.171%. Un numero che può sembrare eccessivo, ma che Ferrari ha spiegato con precisione: "vediamo cyber criminali che si stanno sempre più industrializzando e che scelgono strumenti mirati per ottenere col minore sforzo attacchi sempre più efficaci". In questa logica, i dispositivi IoT consumer di fascia bassa sono il bersaglio ideale perché sono mediamente poco protetti, largamente diffusi, e spesso mai aggiornati dopo l'acquisto.

A completare il quadro c'è un dato che ha portato i presenti in viaggio nel passato: i servizi Telnet esposti su internet sono cresciuti del 51%. Per chi non ha i capelli grigi, Telnet è un protocollo degli anni ‘70, privo di cifratura, che la comunità di sicurezza ha raccomandato di dismettere da almeno tre decenni. "Probabilmente rientra in sistemi OT o in alcuni prodotti consumer, confermando come il concetto di security by design sia qualcosa che i produttori hanno dimenticato", ha commentato Ferrari. La speranza  è che il Cyber Resilience Act, che entrerà in vigore a novembre 2027, obblighi finalmente i produttori a una maggiore attenzione alla security già in fase di progettazione.

L'AI cambia il profilo degli attacchi

Comune denominatore all’analisi di Fastweb è il ruolo crescente dell'intelligenza artificiale nelle strategie offensive. I cyber criminali la usano su più fronti: per costruire messaggi di phishing sempre più verticali e mirati, tanto che il 73,1% delle email malevole rilevate sulla rete risulta personalizzato sul destinatario. Viene usata l’AI anche per automatizzare la ricognizione degli obiettivi, con il traffico di bot crawler collegati all'AI cresciuto del 47%; per ostacolare l'attribuzione degli attacchi, combinando tecniche diverse in modo da rendere difficile l’individuazione del gruppo criminale responsabile.

Gli attacchi DDoS combinati sono cresciuti del 16%, e Ferrari ha segnalato la diffusione del cosiddetto carpet bombing, una tecnica che consiste nel distribuire l'attacco su un numero molto elevato di target con volumi singolarmente più bassi: più difficile da rilevare, più difficile da bloccare, e capace di mettere in difficoltà i sistemi di difesa basati su soglie volumetriche. In totale, gli attacchi DDoS rilevati sulla rete Fastweb-Vodafone nel 2025 sono stati 5.930, con una crescita del 26%.

Sul fronte della posta elettronica, la situazione è in peggioramento: i messaggi malevoli sembrano sempre più legittimi, sono scritti in italiano corretto, sono modellati su contesti specifici dell'azienda o del destinatario, e sono costruiti con una cura che fino a pochi anni fa richiedeva competenze e tempo rari da incontrare. Oggi, con gli strumenti di AI disponibili, quella barriera è caduta.

I settori più colpiti e qualche segnale positivo

La pubblica amministrazione si conferma il settore più colpito in Italia, con il 36% degli attacchi DDoS rilevati sulla rete; al secondo posto troviamo i servizi, con il 14,7%. Ferrari ha anche segnalato una crescita preoccupante degli attacchi ai service provider, che suggerisce un'attenzione sempre maggiore degli attaccanti alla supply chain: colpire un fornitore di servizi significa potenzialmente raggiungere decine o centinaia di organizzazioni a valle.

Non tutto va però nella direzione sbagliata. Accanto ai numeri negativi, l'analisi di Fastweb registra alcuni segnali che indicano un miglioramento della postura difensiva di aziende e organizzazioni. Gli attacchi SQL injection sono calati del 6%, il social engineering del 5,4%, lo sfruttamento delle piattaforme Malware-as-a-Service segna un -12%. "Vediamo una maggiore consapevolezza da parte delle aziende", ha detto Ferrari, "vediamo che i sistemi difensivi fanno leva sull'intelligenza artificiale proprio per contrastare il maggiore uso della stessa da parte degli attaccanti". L'AI, in altre parole, non è solo uno strumento nelle mani di chi attacca: nei SOC più evoluti sta diventando un moltiplicatore di forza per chi difende, capace di rilevare anomalie e correlare eventi su scale che nessun analista umano potrebbe gestire manualmente.

Ferrari ha concluso il suo intervento con un messaggio che riassume la posizione di Fastweb: la situazione è complessa, i numeri sono preoccupanti, ma "non ha senso disperarsi, c'è tanto lavoro da fare però alcuni trend ci dicono che stiamo operando nella direzione corretta". L'auspicio è che gli interventi normativi in corso, a partire dall'adozione più strutturata della NIS2 e dall'entrata in vigore del Cyber Resilience Act, aiutino a consolidare i progressi già visibili e a estenderli a quei settori e a quelle organizzazioni che ancora faticano a tenere il passo.