L’Italia si conferma tra i Paesi più esposti alla criminalità informatica, posizionandosi al sesto posto nella classifica mondiale per numero di attacchi ransomware. È quanto emerge dal “Threat Report 2025-2026” di aDvens, specialista europeo della cybersecurity, che analizza l’evoluzione delle minacce sulla base delle attività di rilevazione e risposta gestite dal SOC e dal CERT dell’azienda, che supportano oltre 500 organizzazioni.
Nel corso del 2025, il nostro Paese ha subito 162 attacchi ransomware rivendicati, un dato che la colloca tra le nazioni più colpite a livello globale. Il dato posiziona l’Italia dietro Stati Uniti (3.399 attacchi), Regno Unito (361), Germania (333), Canada (259) e Francia (180), ma davanti a Spagna (154), Brasile (145), India (136) e Australia (127). L’indagine evidenzia un’elevata esposizione del tessuto produttivo nazionale.
Dati chiave per l’Italia:
· Settore industriale sotto attacco: l’industria manifatturiera è il comparto più bersagliato, con il 16,7% degli attacchi totali (27 vittime). Una proporzione significativamente superiore alla media mondiale, che evidenzia la vulnerabilità di un settore strategico per l’economia del Paese. A livello globale, il settore industriale è il più colpito con 962 vittime totali. L’agroalimentare italiano, con 5 attacchi registrati, mostra una resilienza relativa rispetto ad altri comparti, ma rimane comunque un settore strategico da proteggere considerata la sua rilevanza per l’economia nazionale.
· ICT e Sanità nel mirino: il settore ICT (Tecnologia e IT) si classifica al secondo posto con 16 attacchi, seguito dalla Sanità con 7, rispettivamente 917 e 549 a livello globale.
· I principali gruppi criminali: oltre un terzo degli attacchi è opera di tre sole organizzazioni: Sarcoma (28 vittime), Qilin (19) e Akira (10). Particolarmente significativa è la presenza di Qilin, che a livello globale si posiziona al quarto posto con 390 vittime totali e che ha dimostrato una particolare predilezione per il settore sanitario europeo. Il gruppo ha fatto parte di un’alleanza strategica con SafePay e WorldLeaks, prendendo di mira ospedali, istituzioni finanziarie e governative attraverso operazioni coordinate.
Europa sotto assedio: Italia terza nel continente
Nel contesto europeo, l’Italia si posiziona come terzo paese più colpito dopo Germania e Francia, confermando la vulnerabilità dell’intero ecosistema EMEA alle minacce ransomware.
Particolarmente significativo è il confronto con la Spagna, che con 154 attacchi si posiziona settima a livello mondiale. Il paese iberico mostra una vulnerabilità specifica nel settore ospitalità e turismo, con 12 vittime tra i comparti più colpiti, evidenziando come le caratteristiche economiche nazionali influenzino il profilo di rischio cyber.
L’emergere dei cartelli cybercriminali: una nuova minaccia
Un’evoluzione particolarmente preoccupante emersa nel 2025 riguarda la nascita di “cartelli ransomware”, alleanze strategiche tra gruppi criminali che stanno ridefinendo il panorama delle minacce. Il caso più emblematico è quello di DragonForce, che ha ufficializzato la sua trasformazione in un modello ibrido che va oltre il tradizionale Ransomware-as-a-Service.
Diversamente dalle strutture centralizzate del passato, DragonForce opera come una coalizione di affiliati che mantengono la propria identità operativa ma beneficiano di infrastrutture condivise, strumenti comuni e supporto centralizzato. Questo modello ha attratto gruppi storici come LockBit, Conti e RansomBay, creando un ecosistema resiliente capace di sopravvivere anche allo smantellamento di singoli membri.
La mutualizzazione delle risorse e delle competenze rende questi cartelli particolarmente pericolosi: un attacco può essere orchestrato da un affiliato e supportato dall’intera coalizione, aumentando sia la sofisticazione tecnica sia la capacità di colpire simultaneamente obiettivi multipli. La presenza di DragonForce tra i gruppi attivi in Italia (4 attacchi rivendicati) suggerisce che il Paese è già nel mirino di queste nuove strutture criminali.
L’intelligenza artificiale accelera le minacce
A livello globale, il rapporto aDvens segnala una radicale trasformazione delle minacce, guidata dall’adozione massiccia dell’intelligenza artificiale da parte dei cybercriminali. L’IA viene utilizzata per automatizzare la creazione di codice malevolo e orchestrare campagne di phishing su larga scala, rendendo gli attacchi più rapidi e sofisticati.
“L’intelligenza artificiale agisce come un moltiplicatore di capacità per i criminali, riducendo i tempi di attacco da settimane a poche ore”, afferma Cristina Mariano, Country Manager di aDvens Italia. Per le aziende italiane, in particolare nel settore industriale, è fondamentale adottare un approccio proattivo alla sicurezza, rafforzando la gestione degli accessi e la protezione dei sistemi perimetrali, che rappresentano i principali punti di ingresso per gli attaccanti.”
Il costo devastante degli attacchi industriali
Il rapporto dedica particolare attenzione all’impatto economico degli attacchi contro il settore industriale. Il caso Jaguar Land Rover, avvenuto nell’agosto 2025, è emblematico: l’attacco ha causato perdite stimate in 2,19 miliardi di euro per l’economia britannica, con 485 milioni di sterline di impatto diretto. La produzione è stata interrotta per oltre sei settimane, con 39.000 dipendenti in cassa integrazione e un calo delle vendite del 43,3% nel terzo trimestre fiscale.
Considerata l’elevata concentrazione di attacchi nel settore manifatturiero nazionale, questo dato assume particolare rilevanza per l’Italia. La compromissione di un grande attore industriale italiano potrebbe avere ripercussioni simili sull’intera filiera produttiva e sulle migliaia di piccole e medie imprese fornitrici che caratterizzano il tessuto economico del Paese.
Raccomandazioni per le organizzazioni italiane
Le raccomandazioni del CERT aDvens indicano due aree di intervento prioritarie per migliorare la postura di sicurezza: una gestione rigorosa degli accessi e dei privilegi (il 48% delle raccomandazioni) e la protezione dei dispositivi perimetrali (29%), poiché l’80% degli accessi iniziali agli attaccanti deriva dall’uso di credenziali compromesse.
Il CERT aDvens ha elaborato oltre 2.000 raccomandazioni nel corso delle sue attività di risposta a incidenti. Il 46% di queste deve essere implementato a breve termine (meno di due mesi) per elevare rapidamente la postura di sicurezza a un livello accettabile.
Il rapporto identifica cinque pilastri essenziali di difesa: protezione e hardening dei sistemi, gestione rigorosa degli accessi privilegiati, supervisione avanzata disponibile 24 ore su 24, segmentazione della rete e isolamento dei perimetri critici, e infine organizzazione e maturità delle pratiche di sicurezza.
Crittografia post-quantistica: la sfida strategica del 2026
L’avvento dei computer quantistici rappresenta una minaccia esistenziale per gli attuali sistemi crittografici. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha tracciato una roadmap precisa per la transizione italiana alla crittografia post-quantistica, con scadenze vincolanti che le organizzazioni devono rispettare.
L’Italia definirà la propria strategia nazionale per la crittografia post-quantistica entro il 31 dicembre 2026, con priorità per la protezione dei dati sanitari e dei segreti di stato. Questa scadenza si inserisce nel contesto europeo più ampio: tutti gli stati membri dell’UE sono tenuti ad avviare la transizione entro la fine del 2026, con una roadmap che si estende fino al 2035 per le infrastrutture critiche.
La necessità di agire deriva dalla minaccia “Harvest Now, Decrypt Later”: gli attaccanti stanno già raccogliendo dati crittografati oggi per decifrarli domani con i computer quantistici. Per le aziende italiane che gestiscono dati sensibili destinati a rimanere protetti per anni o decenni – dalle cartelle cliniche ai segreti industriali – la transizione alla crittografia post-quantistica non è più un’opzione, ma una priorità strategica urgente.
