Sempre in aumento le minacce alla sicurezza informatica: il rapporto CLUSIT 2025

CLUSIT - Rapporto 2025

CLUSIT è l'Associazione Italiana per la Sicurezza Informatica costituita nel 2000 che ha sede presso il Dipartimento di Informatica “Giovanni Degli Antoni” dell'Università degli Studi di Milano e che, grazie allo sforzo di un team di altissimo livello, da anni lavora per sensibilizzare il mondo pubblico e privato sui temi della sicurezza informatica.

Il Rapporto 2025 inizia con una panoramica degli incidenti di sicurezza più significativi avvenuti a livello globale (Italia inclusa) nel 2024, confrontandoli con i dati raccolti negli anni precedenti. L’analisi degli attacchi in Italia è poi completata dalle rilevazioni e segnalazioni della Polizia Postale e per la Sicurezza Cibernetica. Segue l’abituale capitolo dedicato al settore FINANCE, con un’analisi sul Cyber-crime nel settore finanziario in Europa, un capito dedicato all’Intelligenza Artificiale, con due articoli ed un approfondimento sulla Cybersecurity in Sanità (incidenti in crescita e nuove misure di protezione e sanzioni con NIS2).

Interessanti anche i dati risultanti da una survey sulla Cybersecurity nelle micro e piccole/medie imprese, con un quadro aggiornato dall’analisi dei dati del PID Cyber Check delle Camere di Commercio, realizzata dal DINTEC - Consorzio per l’innovazione tecnologica - società in house di Unioncamere, dell’ENEA e delle Camere di commercio italiane, partendo da un modello predisposto dall’istituto di informatica e telematica (IIT) del CNR, assieme al Centro di Competenza START 4.0.

Cosa emerge nel Rapporto 2025

Secondo il Clusit ciò che emerge dai dati, oltre agli impatti causati dal cybercrime e dalle “normali” attività di intelligence economica che osservano già da diversi anni, dal 2022, con l’inizio del conflitto in Ucraina, siamo entrati in una nuova fase di “guerra cibernetica diffusa”, dinamica che si conferma anche nel 2024. A questo scenario di fondo nel 2024 si sono aggiunte nuove problematiche, sia derivanti dalla diffusione dell’AI generativa (utilizzata dagli attaccanti come “moltiplicatore di forza”), che dalle aumentate tensioni (a livello socioeconomico e geopolitico), che hanno riportato in auge forme di antagonismo digitale, principalmente realizzate tramite attacchi DDoS. Oltre alle migliaia di attacchi compiuti da cybercriminali e gruppi state-sponsored, nel 2024 anche una crescente quantità di sigle antagoniste hanno colpito un gran numero di organizzazioni e governi, contribuendo ad alimentare un senso di incertezza sempre più diffuso. In alcuni casi, è ragionevole supporre che queste cellule di sedicenti hacktivist siano in realtà manovrate da agenzie governative ed inquadrate in più ampie attività di guerra psicologica, disinformazione e sabotaggio.

In questo scenario sempre più complesso, il nostro Paese risulta ancora tra i più colpiti, come dimostra il significativo numero di incidenti subiti nel 2024. Già nel 2022 Clusit ha scritto “l’Italia è nel mirino”, situazione confermata anche nel 2023 e, osservando i dati del 2024, possiamo concludere che il nostro Paese rappresenta ormai un bersaglio preferenziale, con una crescita degli incidenti del 15% rispetto al 2023 (significativa, ma fortunatamente inferiore rispetto alla crescita del 27% a livello globale).

Questo peggioramento del dato deve comunque far riflettere, anche considerando che l’Italia, pur rappresentando solo lo 0,7% della popolazione ed l’1,8% del PIL mondiale, nel 2024 ha subito il 10% degli attacchi registrati a livello globale, tenendo presente, a titolo di confronto, che la Francia è al 4% e la Germania al 3%, così come il Regno Unito. Si tratta di una sproporzione evidente, non giustificabile solo come un bias insito nei nostri dati, che merita certamente attenzione.

La TOP 10 delle vittime e gli incidenti in Italia

L’importanza di questo Rapporto risiede anche nella capacità di intercettare i cambiamenti significativi, che anno su anno possono fornire indicazioni utili per le organizzazioni pubbliche e private, per ridefinire la propria postura di sicurezza. Uno di questi è rappresentato dalla distribuzione delle vittime italiane, che quest’anno contiene una novità che potrebbe rappresentare più un evento eccezionale che un’effettiva tendenza: la categoria merceologica per cui si rileva un maggior numero di attacchi, infatti, è News / Multimedia che raggiunge il 18% del totale degli settori che storicamente guidavano questa triste classifica si trovano nelle posizioni immediatamente successive: Manufacturing è al secondo posto, con il 16% degli attacchi, seguito da Government (10% del totale), che nel 2023 occupava il vertice della graduatoria.

Tra il 2020 e il 2024 il campione ha incluso 973 incidenti noti di particolare gravità che hanno preso di mira realtà italiane. Di questi, ben 357, ovvero quasi il 39% del totale, sono avvenuti nell’ultimo anno in esame. Il dato del 2024, sebbene registrando una lieve ulteriore crescita rispetto all’anno precedente, sembra riportarsi nella linea di tendenza degli ultimi anni: gli incidenti sono sì aumentati nel 2024 rispetto al 2023, ma con meno rilevanza di quanto fossero aumentati nei due anni precedenti. Il tasso di crescita degli incidenti in Italia nel 2024 si assesta al 15,2% rispetto all’anno precedente, inferiore rispetto al dato globale (27,4%), invertendo la tendenza dello scorso anno in cui si registrava invece un aumento degli incidenti in Italia (65%) più significativo di quanto avveniva a livello internazionale (11,7%). Sempre in relazione al dato globale, decresce leggermente l’incidenza degli incidenti subiti da organizzazioni italiane rispetto al totale (Fig 25): nel 2024 il dato italiano rappresenta il 10,1% del campione complessivo degli incidenti individuati in tutto il mondo, restando comunque nei pressi del picco negativo registrato lo scorso anno (11,2%).

SURVEY - Cybersecurity nelle mPMI

I dati del PID Cyber Check rivelano un panorama in cui le mPMI italiane si trovano esposte a rischi informatici significativi, con un livello di rischio medio che domina e un’ampia percentuale di aziende che ha già subito attacchi.

Per affrontare il problema della maggiore esposizione delle imprese con fatturato inferiore a un milione di euro e per mitigare i rischi anche per quelle più strutturate, è necessario adottare una combinazione di strategie mirate che tengano conto delle risorse limitate delle micro e piccole imprese e delle esigenze più complesse delle aziende più grandi. Una soluzione potrebbe includere iniziative come l’implementazione di servizi di cybersecurity accessibili e scalabili, progettati specificamente per le mPMI. Ad esempio, soluzioni di sicurezza “as-a-service”, come firewall gestiti, software antivirus avanzati e strumenti di monitoraggio delle minacce, potrebbero essere offerti a costi contenuti tramite consorzi di settore o incentivi pubblici, come gli attuali fondi PNRR messi a disposizione dalla rete dei Centri di Competenza e degli EDIH.

In parallelo, è fondamentale investire nella formazione del personale, poiché molte minacce, come il phishing, si basano su errori umani Workshop, moduli di e-learning e simulazioni pratiche potrebbero aiutare i dipendenti a riconoscere e prevenire attacchi, aumentando la resilienza anche in aziende con budget ridotti.

Per le medie imprese già più strutturate, la soluzione dovrebbe concentrarsi sul rafforzamento delle infrastrutture critiche come l’adozione di sistemi di autenticazione multifattoriale, la segmentazione delle reti e piani di backup avanzati. Inoltre, l’integrazione di sistemi di monitoraggio e risposta automatizzata agli incidenti permetterebbe loro di reagire rapidamente alle minacce in corso.

Dall’analisi alla sintesi: dai trend alla strategia

Riteniamo che al primo posto tra le azioni necessarie sia posizionata la governance della sicurezza e la capacità di identificare, analizzare, valutare e gestire i rischi, sia con misure preventive che di mitigazione, ma anche nella prospettiva di gestire il trasferimento del rischio verso terzi (sia in ottica di coperture assicurative, ma anche trasferendo l’onere dell’implementazione delle misure di mitigazione mediante il ricorso ad un outsourcing di qualità, per esempio nell’ambito di percorsi di Cloud Journey).

Non possiamo non considerare che la stessa normativa NIS2 richiama alla responsabilizzazione del vertice aziendale sui temi cyber, ed alla capacità, tramite il presidio dei rischi, di adattare la propria postura ai cambiamenti sempre più repentini dello scenario.

La capacità di determinare, anticipare e gestire le evoluzioni legate alle minacce esogene, oltre che al contesto interno dell’organizzazione, è ormai fondamentale nel quadro che il Rapporto ci permette di delineare: il risk management non può più essere “uno strumento per pochi esperti”. Il GDPR lo ha reso necessario su tutto il perimetro dei trattamenti dei dati personali, è ormai ora di fare tesoro di questa esperienza per gestire anche i rischi cyber contro l’organizzazione.

Resta ancora fondamentale mantenere alta l’attenzione al tema della consapevolezza delle persone: la crescita del 35% degli incidenti cyber basati sul phishing non è l’87% del 2023, ma è ancora un tasso inaccettabile tanto per le piccole/medie, come per le grandi organizzazioni.

Ai soggetti pubblici e privati, pertanto, si paventano due importanti sfide nel medio termine:

• sostenere la crescente pressione degli attacchi, anche in ambiti di particolare innovazione, come l’AI, o fino ad oggi tradizionalmente meno presidiati (OT/IoT);
• adeguarsi e mantenersi adeguati alle normative settoriali e generali, in misura progressivamente crescente Avere consapevolezza di questo consentirà di applicare logiche e criteri di convergenza tra adempimenti e azioni volte a mitigare i rischi di sicurezza, evolvere i modelli organizzativi per attribuire le diverse responsabilità in modo bilanciato e adeguato, definire dei meccanismi di funzionamento nei quali le misure necessarie a soddisfare i diversi obiettivi possano agire in modo sinergico, evitando di ingenerare burocrazia, inefficienza e sovrapposizioni.

Agire nei punti più critici e funzionali a ottenere questo risultato sarà cruciale. Uno di questi è certamente il presidio continuo della sicurezza di prodotti e servizi lungo l’intero ciclo di vita (SSDLC - Secure Software Development LifeCycle), sia in ambienti waterfall che agili (SecDevOps), adottando soluzioni che affrontino efficacemente l’ambito della sicurezza delle applicazioni su ogni elemento (servizi esposti, front end, middleware, applicazioni mobili, IoT) e non solo in fase di scrittura del codice.

In particolare, le logiche di security by design devono diventare parte dei processi di sviluppo di prodotti e servizi a partire da quando i servizi vengono concepiti, dall’on-premise al cloud, con una sempre più stringente gestione dei processi di sourcing e delle terze parti, non solo in ottica di compliance, ma anche in ottica di tutela aziendale.

Anche i processi di monitoraggio e gestione degli incidenti e delle crisi cyber devono essere resi più efficienti ed efficaci, creando procedure, playbook, comunicati stampa e simulando la gestione di tali eventi, così da essere certe di essere in grado di limitare i possibili danni.

Scarica il Rapporto CLUSIT 2025

Convivere con il Cyber Risk

Visto il trend degli ultimi anni relativo all'aumento dei gruppi Cyber e la conseguente crescita degli attacchi Ransomware, è sempre più necessario avere una copertura totale adeguata all'impresa. Per ottenerla è importante distinguere tra misure preventive e polizza assicurativa, in quanto quest'ultima dipende dalle prime. L'assicurazione, per poter essere stipulata, necessita della presenza di protocolli di sicurezza aggionati contro il Rischio Cyber. Tra le misure preventive figurano:

• Formazione del personale

• Salvataggio dati nel cloud

• Backup eseguito periodicamente

• Computer portatili con dati criptati

• Aggiornamento frequente delle password

• Presenza di software antivirus

• Ecc...

Le compagnie assicurative forniscono polizze Cyber caratterizzate da una vasta gamma di soluzioni per la valutazione del rischio, la gestione della crisi successiva all'evento e il trasferimento del rischio che oggi le aziende sono chiamate a fronteggiare. Tra le garanzie disponibili troviamo:

• Rimborso danni subiti dall'assicurato

• Tutela legale

• Indennizzo per interruzione attività assicurato

• Rimborso spese danni reputazionali

E' così possibile scegliere una copertura ad hoc che protegga le esigenze specifiche di ogni azienda.

Vuoi tutelare la tua azienda contro i rischi Cyber?

Compila il form di contatto CLICCANDO QUI.