L’ACN ha rilevato 1.549 eventi, con un incremento del 53% rispetto allo stesso periodo del 2024. Di questi, 346 sono stati classificati come incidenti con impatto confermato, quasi il doppio rispetto all’anno precedente (+98%).
Nel primo semestre del 2025 in Italia si è registrato un forte aumento degli eventi cyber. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha rilevato 1.549 eventi, con un incremento del 53% rispetto allo stesso periodo del 2024. Di questi, 346 sono stati classificati come incidenti con impatto confermato, quasi il doppio rispetto all’anno precedente (+98%).
L’aumento, spiegano da ACN, è legato anche a una maggiore capacità di rilevamento da parte del CSIRT Italia (Computer Security Incident Response Team), grazie al rafforzamento normativo introdotto con la Legge n. 90 e il D.lgs n. 138 del 2024. Tra le minacce più ricorrenti ci sono gli attacchi DDoS, l’esposizione di dati e il phishing.
Settori più colpiti: PA, telco ed energia
I principali bersagli sono stati la Pubblica Amministrazione locale, la PA centrale e il settore Telecomunicazioni. Ad aprile, una campagna di spearphishing ha colpito il comparto telco, mentre a marzo una violazione presso un fornitore di servizi web ha coinvolto numerosi enti locali. La PA centrale, invece, è finita nel mirino di attacchi DDoS e campagne di phishing.
Ransomware stabili, ma colpiscono settori critici
Nel semestre sono stati registrati 91 attacchi ransomware, in linea con i 92 dello stesso periodo del 2024. Tra i casi più gravi figurano università, strutture sanitarie, operatori energetici e fornitori digitali della PA, messi in difficoltà soprattutto a febbraio, con effetti a catena su altri soggetti collegati.
Crescono del 77% gli attacchi DDoS
Gli attacchi DDoS sono passati da 336 nel primo semestre 2024 a 598 nel 2025, segnando un aumento del 77%. Particolarmente rilevante l’ondata lanciata da attori filorussi a giugno, durata 13 giorni, con 275 attacchi contro 124 obiettivi. Gli impatti sono stati in gran parte contenuti grazie al lavoro di mitigazione del CSIRT.
Nel semestre sono state rilevate 1.530 URL di phishing, con un’ondata significativa contro il settore energetico a maggio. Gli episodi di esposizione di dati sono saliti a 186, contro i 91 del 2024, e hanno coinvolto piattaforme di streaming, e-commerce e pubbliche amministrazioni. Allarme anche per il furto di credenziali bancarie, poi rivendute su circuiti illeciti.
Botnet e vulnerabilità: oltre 1.900 dispositivi compromessi
Il monitoraggio attivo ha consentito di individuare 638 indirizzi IP vulnerabili (in particolare su Citrix NetScaler, con falle come CitrixBleed 2) e 1.977 dispositivi compromessi appartenenti a botnet come IcedID, Smokeloader e Bumblebee. A marzo, sono stati trovati 1.245 dispositivi di videosorveglianza italiani coinvolti nella botnet DDoS Eleven11bot.
Prevenzione e allerta in aumento
Nel semestre, il CSIRT Italia ha inviato 23.144 segnalazioni preventive, con un incremento del 9% rispetto al 2024, avvisando in modo proattivo soggetti colpiti o vulnerabili. Sul portale ufficiale sono stati inoltre pubblicati 329 avvisi tecnici con le contromisure da adottare.
Il quadro delineato da ACN mostra un netto aumento delle minacce informatiche nei primi sei mesi del 2025, con attacchi sempre più mirati, continui e strutturati. Al tempo stesso, cresce la capacità di monitorare, prevenire e rispondere: un fronte che si conferma decisivo per la difesa della sicurezza digitale del Paese.
