Cybersecurity, in calo gli incidenti in Italia: più eventi ma maggiore capacità di difesa

Nel secondo semestre del 2025 aumentano gli eventi cyber rilevati in Italia, ma diminuiscono in modo significativo gli incidenti con impatto confermato. È quanto emerge dai dati dell’Agenzia per la Cybersicurezza Nazionale, che ha registrato 1.253 eventi, in crescita del 30% rispetto allo stesso periodo del 2024, a fronte di 304 incidenti, in calo del 25%.

Secondo ACN, l’incremento degli eventi è legato soprattutto al rafforzamento delle attività di monitoraggio del CSIRT Italia, all’entrata in vigore del nuovo quadro normativo nel 2024 e alla diffusione di minacce come gli attacchi DDoS, che sempre più spesso non producono disservizi rilevanti grazie a sistemi difensivi più strutturati.

La pressione rimane comunque elevata. I principali bersagli sono la Pubblica Amministrazione, sia centrale sia locale, e il settore delle telecomunicazioni. Nel comparto pubblico, la maggior parte delle segnalazioni riguarda campagne DDoS senza effetti significativi: meno del 10% degli attacchi provoca disservizi, perlopiù temporanei. Seguono i casi di individuazione di dati sensibili su piattaforme illegali di scambio. A livello locale, la compromissione di fornitori di servizi web ha innescato in alcuni casi effetti a catena, coinvolgendo più amministrazioni.

Gli attacchi ransomware restano sostanzialmente stabili: 54 casi nel secondo semestre 2025 contro i 48 dell’anno precedente. I settori più colpiti sono manifatturiero, commercio al dettaglio e tecnologia, con un impatto particolare sulle piccole e medie imprese, spesso dotate di infrastrutture di sicurezza limitate.

Continua invece a crescere il phishing. ACN ha segnalato 927 URL malevoli, contro i 579 del 2024. Tra gli episodi più rilevanti, una campagna mirata contro una struttura ospedaliera, raggiunta da oltre 3.000 e-mail fraudolente. In aumento anche i casi di esposizione di dati, saliti a 232 eventi, legati soprattutto alla diffusione illecita di credenziali compromesse e a violazioni che hanno coinvolto università, fornitori digitali e servizi finanziari.

Sul fronte della prevenzione, il CSIRT Italia ha inviato 5.205 comunicazioni di allerta preventiva a soggetti con sistemi potenzialmente a rischio, segnalando vulnerabilità su piattaforme di uso diffuso. L’adozione tempestiva delle contromisure indicate consente spesso di evitare compromissioni. Restano infine costanti le principali modalità di attacco, basate su e-mail malevole e sull’utilizzo di credenziali valide sottratte in precedenza.

Il quadro delineato dall’ACN restituisce l’immagine di un ecosistema digitale sotto pressione, ma anche di una crescente capacità di rilevamento, risposta e mitigazione, fondata sulla collaborazione tra l’Agenzia, le amministrazioni e gli operatori pubblici e privati.

Maggiori informazioni e tutta la documentazione nella nota ddel’ACN