Secondo il Rapporto Clusit 2025, negli ultimi cinque anni in Italia si è registrato un incremento significativo degli attacchi informatici. Dopo la pandemia i c.d. eventi cyber sono cresciuti di numero (la media mensile è passata da 156 nel 2020 a 295 nel 2024) e di intensità^[1].

L’aggravarsi delle tensioni geopolitiche, legate al protrarsi del conflitto tra Russia e Ucraina e ai mutamenti negli equilibri mediorientali a seguito degli attentati di Hamas e della veemente reazione di Israele, ha contribuito a un aumento significativo degli incidenti cibernetici nel nostro Paese. Solo nel periodo maggio-novembre 2024 sono stati rilevati ben 1.193 eventi cyber, con impatti particolarmente rilevanti sui settori della pubblica amministrazione e della ricerca universitaria^[2].

In un contesto già segnato da una certa complessità, nuovi profili problematici sono emersi con la diffusione dell’intelligenza artificiale generativa, divenuta un efficace strumento nelle mani degli attaccanti per affinare e intensificare le proprie attività illecite. L’impiego di queste nuove tecnologie ha favorito la proliferazione di forme di conflittualità digitale, in particolare tramite attacchi DDoS (Distributed denial of service).

Questo genere di aggressioni informatiche è stato praticato da hacker, gruppi criminali ma anche da un numero crescente di attivisti che hanno preso di mira istituzioni pubbliche e organizzazioni private, contribuendo ad alimentare un clima generale di incertezza. Mossi da finalità politiche o sociali, gli hacktivist come il celebre Anonymous violano sistemi e diffondono dati sensibili con l’intento di denunciare scelte politiche o economiche ritenute ingiuste o sperequative.

In alcuni casi, tuttavia, è apparso fondato il sospetto che dietro simili iniziative di “hacktivismo” si celasse la regia di potenze straniere, interessate a creare un clima di guerra psicologica, disinformazione e sistematico sabotaggio dei sistemi più vulnerabili. Purtroppo, in questo scenario contrassegnato da una preoccupante instabilità, l’Italia continua a collocarsi tra i Paesi maggiormente colpiti^[3].

Le migliori e più aggiornate tecniche di monitoraggio dell’Agenzia per la Cybersicurezza Nazionale (ACN) hanno avuto il merito di rilevare i bersagli più frequenti di simili minacce, individuando non solo gli asset già a rischio ma anche quelli potenzialmente vulnerabili. In questo modo, è stato possibile portare alla luce attacchi, manipolazioni e infiltrazioni nei sistemi che in passato sarebbero passati inosservati.

Ma cosa deve intendersi per cybercrime? Con questa formula sintetica comunemente si indica l’insieme delle attività criminali che sfruttano per finalità illecite le vulnerabilità tecniche dei sistemi informatici o i comportamenti incauti degli utenti, che così si espongono al rischio di frodi, accessi abusivi o furti di dati sensibili.

Gli attacchi, infatti, sono spesso condotti attraverso tecniche di social engineering, dirette a manipolare il comportamento delle vittime inducendole a rivelare informazioni riservate: ad esempio, un hacker può fingersi un interlocutore autorevole per ottenere credenziali d’accesso, colpendo soggetti particolarmente esposti come dipendenti junior o figure amministrative. Tra le attività illecite più diffuse si annovera il phishing, consistente nell’invio di comunicazioni ingannevoli, spesso trasmesse via mail, per carpire dati finanziari o codici di accesso.

Al cybercrime per così dire ordinario si affianca il terrorismo cibernetico, che sfrutta la rete per diffondere ideologie violente, destabilizzare istituzioni e generare paura, approfittando della crescente dipendenza della società dai servizi online. Emblematico è il caso dell’attacco del gruppo Iranian Cyber Army, che nel 2010 ha compromesso il motore di ricerca cinese Baidu.

Simile nelle modalità ma diversa negli scopi è, invece, la guerra cibernetica, che si propone di colpire le infrastrutture fondamentali dello Stato nemico. A testimonianza del fatto che il cyberspazio rappresenta un nuovo terreno di confronto geopolitico, si pensi al caso quanto mai significativo di Stuxnet, un malware di tipo worm progettato (e impiantato) allo scopo di sabotare l’impianto nucleare iraniano. 

Proprio i malware costituiscono l’arma informatica più sofisticata: si tratta di software malevoli progettati per danneggiare dispositivi e reti informatiche. Tra i più insidiosi si contano i trojan, che appaiono come applicazioni legittime ma consentono all’attaccante di assumere il controllo del dispositivo infetto, e i ransomware che bloccano l’accesso ai dati richiedendo un riscatto per il loro rilascio.

Grandi aziende e pubbliche amministrazioni rappresentano obiettivi privilegiati, poiché per esse le conseguenze derivanti dalla perdita di dati sensibili sono spesso più gravi del pagamento del riscatto richiesto.

Del resto, in ambito aziendale la protezione degli asset digitali è divenuta imprescindibile. Un efficace sistema di gestione del rischio informatico si fonda sull’Information Risk Management, processo che comprende l’identificazione e la valutazione dei rischi, la misurazione dell’impatto potenziale e la definizione delle opportune contromisure. È essenziale individuare le aree aziendali maggiormente vulnerabili, rafforzare i sistemi di protezione esistenti e, ove opportuno, stipulare coperture assicurative specifiche contro i rischi cyber. Tuttavia, l’adozione di tecnologie avanzate non basta. Una difesa efficace non può fare a meno della formazione e sensibilizzazione del personale: l’esperienza insegna che il fattore umano rappresenta l’anello debole della catena della sicurezza. Un personale non adeguatamente preparato alle sfide odierne può compromettere, infatti, anche i sistemi tecnici più sofisticati.

In conclusione, il cyberspace ha ridisegnato la realtà contemporanea, offrendo straordinarie opportunità ma creando, al contempo, nuove classi di rischio. La sicurezza informatica non può più essere considerata un optional tecnico, bensì una priorità strategica: ogni organizzazione pubblica e privata è chiamata a sviluppare strategie idonee a identificare tempestivamente eventuali attacchi, reagire con prontezza e mitigare i danni, ripristinando la piena operatività dei sistemi in tempi rapidi. Solo così sarà possibile cogliere al massimo i benefici offerti dalla trasformazione digitale, minimizzando al contempo i rischi connessi e contribuendo a garantire la sicurezza complessiva del Paese.

[1] Rapporto Clusit sulla Cybersecurity in Italia e nel mondo

[2] ACN, Operational Summary, Novembre 2024

[3] Rapporto Clusit sulla Cybersecurity in Italia e nel mondo