Dove siamo alla fine del 2025

Il panorama delle minacce del 2025 mostra come i rischi cyber stiano aumentando su molteplici fronti. Sia gli attori statali sia le organizzazioni cybercriminali si evolvono rapidamente, sfruttano nuove opportunità e mettono costantemente alla prova le difese a livello globale. I principali trend che caratterizzano lo scenario attuale includono:

Crescente impatto del ransomware alimentato da attori occidentali

Gruppi come Scattered Spider intensificano la crisi del ransomware con campagne audaci che partono spesso dal furto di credenziali e dall’abuso delle identità digitali.

Aumento degli attacchi alla supply chain digitale

Sebbene partano da una base ancora limitata, le compromissioni dei fornitori software e dei servizi digitali sono in crescita, poiché gli attaccanti mirano a ottenere maggiore scala ed effetto leva.

Sperimentazioni malevole con GenAI

I threat actor continuano a testare l’IA generativa, ottenendo progressi incrementali nel phishing, nello sviluppo di malware, nei deepfake e nell’automazione, più che veri e propri salti tecnologici.

Infiltrazione da parte di lavoratori IT nordcoreani

Operatori della Corea del Nord che si spacciano per freelance infiltrano aziende per rubare codice, credenziali e valuta estera.

Social engineering in prima linea

Tecniche come le esche “click-fix” (che sfruttano la fiducia degli utenti verso piattaforme considerate sicure, come Google Meet, Zoom o Booking.com, per convincerli a eseguire manualmente l'azione che infetterà il loro dispositivo)  i finti help desk, il phishing tramite QR code e la cosiddetta  “MFA fatigue” (che si verifica quando l’autore di un attacco informatico, dopo aver ottenuto la password della vittima, tenta ripetutamente di accedere al suo account generando una raffica di richieste MFA sul suo telefono. L’obiettivo è stancare o confondere l’utente con così tante notifiche da indurlo, per errore o esasperazione, ad approvarne una, concedendo così l’accesso all’attaccante), restano vettori d’attacco estremamente efficaci.

La persistente minaccia della cyber-intelligence cinese

Campagne continue che spaziano dall’attacco ai dispositivi di rete periferici fino ai servizi cloud strategici, ricchi di dati sensibili, riflettono le priorità geopolitiche di Pechino.

Dove stiamo andando: previsioni per il 2026

L’evoluzione di questi trend porterà nel 2026 nuove tattiche e rischi, spingendo i difensori verso territori ancora inesplorati. Ecco le principali previsioni:

1) Frodi vocali deepfake su scala enterprise

Gli attaccanti potrebbero sfruttare il voice cloning basato su IA per aggirare i processi di verifica dell’identità in ambiti critici - come approvazioni finanziarie, reset delle password e onboarding dei fornitori - spostando il social engineering dai canali digitali ai canali vocali in tempo reale.

2) Frodi del CEO “agentificate” su larga scala

L’unione tra IA generativa e IA agentica potrebbe automatizzare truffe altamente personalizzate basate su voce e video deepfake di CEO. Squadre di agenti potrebbero raccogliere clip vocali o video, generare contenuti falsi in base agli obiettivi e condurre chiamate via WhatsApp con dirigenti selezionati, mostrando un breve video deepfake prima di spostarsi su chat testuali.

3) Rischio insider amplificato dall’uso dell’IA

Le organizzazioni potrebbero registrare un aumento di incidenti causati da insider - sia malevoli, sia frutto di errori amplificati dall’IA. Strumenti GenAI usati per la produttività possono esporre accidentalmente dati sensibili tramite connettori mal configurati, prompt contenenti informazioni critiche o integrazioni non autorizzate.

4) Furti di criptovalute di portata ancora maggiore

È plausibile che si verifichi un furto superiore ai 1,5 miliardi di dollari sottratti a ByBit, probabilmente attribuibile alla Corea del Nord.

5) Lavoratori IT nordcoreani che sfruttano l’IA per frodi avanzate

Gli sviluppatori della RPDC potrebbero utilizzare IA agentica per migliorare la credibilità delle identità false, aumentare la rapidità delle comunicazioni e svolgere in modo più efficace attività da remoto.

6) Il ransomware resta una delle minacce principali

Il ransomware continuerà a essere la forma dominante di cybercrimine ad alto impatto, con crescente frammentazione del mercato e un aumento della partecipazione di gruppi non russofoni, in particolare anglofoni e sinofoni.

Il panorama delle minacce si sta espandendo: dalle campagne ransomware tradizionali si passa sempre più ad attacchi basati sull’identità, frodi abilitate dall’IA e rischi insider amplificati dall’automazione. Per restare un passo avanti, le organizzazioni dovranno ripensare i controlli su identità, governance dell’IA e gestione del rischio insider.