La sintesi della Sessione 1, “Il Cybercrime come Sistema Criminale Globale”, che si è tenuta durante la prima giornata della Conferenza Interazionale CyberSEC2026.
Sintesi della Sessione Tematica 1 che si è tenuta durante la quinta edizione della Conferenza Internazionale CyberSEC – Cybercrime e Cyberwar: Norme, Geopolitica e Cybersecurity per una Difesa Comune, promossa e organizzata da Cybersecurity Italia in collaborazionecon la Polizia di Stato, tenutasi a Roma presso la Scuola Superiore di Polizia e moderata da Riccardo Croce, Direttore CNAIPIC – Servizio Polizia Postale e per la Sicurezza Cibernetica.
Il quadro del cybercrime come sistema criminale globale è in continuo mutamento e si evolve di pari passo con l’evoluzione tecnologica. I cybercriminali, come dice il Sottosegretario all’Innovazione Alessio Butti, sono degli innovatori e l’obiettivo di chi cerca ci contrastarli è di stare al passo con loro. Come riuscirci?
Nunzi (Europol): “Coinvolgimento di minori online da parte di gruppi estremisti è fonte di grande preoccupazione”
Alfredo Nunzi, Direttore Dipartimento Affari Istituzionali e Legali di Europol, espone il suo punto di vista: “Europol è un’agenzia di cooperazione non soltanto europea, noi operiamo ma per il nostro mandato operiamo a livello globale nel settore del cybercrime, della criminalità organizzata e della lotta al terrorismo – dice Nunzi – tutte attività che vanno ben al di là dei confini europei. Come agenzia serviamo le forze di polizia degli Stati membri. Ma ospitiamo anche le forze di polizia di altri 28 Stati terzi”.
“Il cybercrime è gestito sia da attori individuali sia da reti criminali organizzate”, dice, aggiungendo che la motivazione finanziaria resta quella più importante. Il malware è la modalità più utilizzata, con attacchi mirati a istituzioni pubbliche e private per l’esfiltrazione di dati da usare ad altri scopi.
Le frodi online sono la seconda categoria più importante di attività del Cybercrime Center di Europol.
In terzo luogo, un fenomeno di crescente preoccupazione è “lo sfruttamento di piattaforme digitali da parte di gruppi estremisti con una aggressione nei confronti dei minori che prima sono vittime di questa attenzione, e poi vengono coinvolti nella commissione dei reati”.
E’ quest’ultima minaccia sui minori che, al momento, rappresenta la prima fonte di preoccupazione per Europol, perché richiede una forte collaborazione con il settore privato.
Salpietro (Telespazio): “Anche l’orbita satellitare e l’ambito elettromagnetico sono a rischio cybercrime”
A proposito di superficie di attacco allargata, è poi la volta di Andrea Salpietro, Responsabile Sicurezza di Telespazio (Gruppo Leonardo), attivo nel settore Difesa: “Nella gestione del dominio spaziale noi non abbiamo soltanto a che fare con l’incidente di sicurezza prettamente cyber, ma ci confrontiamo anche con altri ambiti che sono quello dell’orbita satellitare che può essere oggetto di interesse malevolo da parte da attori ostili, e all’ambito elettromagnetico, che mette in comunicazione la parte orbitale con quella terrestre del controllo satellite, che poi è quella che si interfaccia con le reti e che quindi è più esposta a fenomeni di cybercrime”.
In questo contesto, il mondo del cybercrime ha ormai fatto un salto di qualità “industriale”, con la capacità di riutilizzare i dati esfiltrati in un determinato momento in un contesto diverso che può interessare non soltanto frodi o estorsioni, ma può interessare l’ambito del vantaggio competitivo dello spionaggio industriale fino a fenomeni di geopolitica. “Tutto questo trova nel dark web non soltanto un momento di vendita di informazione sottratta, ma anche un momento di intermediazione in ambito geopolitico”, aggiunge. In altri termini, dati trafugati ed esfiltrati in un dato contesto vengono spesso riusati in altri ambiti e contesti.
La Mattina (Gruppo Engineering): “Dati esfiltrati venduti as-a-service nel dark web. AI fondamentale contro il cybercrime”
Dati esfiltrati, venduti nel dark web as-a-service. Un trend in crescita, dice Ernesto La Mattina, Technical Manager AI & Data R&I, Gruppo Engineering. “Il team di lavoro in cui opero si occupa di anti terrorismo e frodi. Il dark web è la dimensione più usata per la cessione dei dati as-a-service e per il loro reimpiego – dice La Mattina – c’è un grande fenomeno di identità digitali rubate nel dark web. La nostra attività si basa sulla collection dei dati. La fase di raccolta dei dati consente già di conoscere il nemico. L’AI è una leva importante per contrastare il crimine organizzato, che usa molto Internet”.
Il cybercrime è un fenomeno che va analizzato e studiato in modo multidisciplinare, visto che ormai si muove esso stesso in diversi ambiti specifici “che vanno contrastati uno per uno”, aggiunge La Mattina. “Non esiste una sola soluzione unica per vincere il cybercrime, è necessario unire diverse competenze specifiche”, chiude.Ed è questo l’approccio adottato in ambito di ricerca in Europa, dove “raccogliendo gli input giusti delle forze dell’ordine ciascuno secondo la propria specializzazione ed expertise mette insieme per contrastare efficacemente il fenomeno”, chiude.
Gino (Recorded Future): “Pressione economica e azione di contrasto stanno accellerando l’innovazione nel Ransomware-as-a-Service”
“Nel 2025 abbiamo assistito a un apparente paradosso: le forze dell’ordine hanno ottenuto risultati significativi in chiave di arresti e sanzioni contro gruppi ransomware e per il secondo anno consecutivo vediamo un calo nei pagamenti ransomware, ma l’ecosistema RaaS si sta decentralizzando e rafforzando”, ha detto Mattia Gino, Threat Intelligence Advisor, Recorded Future. “Con pagamenti in calo e maggiore rischio operativo, I gruppi criminali che si occupano di ransomware si stanno sempre più differenziando, esternalizzando le loro operazioni e facendo affidamento su servizi specializzati per il riciclaggio e la negoziazione”, dice Gino.
Tulliani (EY): “Cybercrime usato da molti Stati come arma di destabilizzazione geopolitica”
Scenari criminali sempre più ibridi e modulari con intrecci profondi di carattere geopolitico. Come contrastarli? “La cosa importante dal nostro punto di vista è dover studiare il contesto italiano ed europeo per capire chi c’è dall’altra parte”, dice Marco Tulliani, Partner EY. “Molti Stati utilizzano il cybercrime come proxy di Stato, come fa l’Iran”, aggiunge Tulliani. Esiste una tolleranza controllata fra lo Stato e il gruppo criminale: “In Iran sanno tutti che certi gruppi lavorano per destabilizzare il contesto finanziario americano ed europeo”.
In secondo luogo, gli Stati cominciano sempre più spesso ad attaccare in maniera multidimensionale, in modalità per così dire di “rappresaglia asimmetrica” allo scopo di colpire le infrastrutture critiche del nemico (acqua, energia, gas, le infrastrutture di trasporto”. “Oltre al furto di dati e alle fake news per creare la confusione”, aggiunge.
In terzo luogo, c’è la cyber resistenza. “Diamo sanzioni altissime a Stati come l’Iran, la Cina e la Russia ma il risultato è che questi Stati fanno degli accordi fra loro, ad esempio per ricevere tecnologie fra di loro”, dice Tulliani, secondo cui il bando europeo a determinate tecnologie (come il 5G cinese ad esempio) impedisce nello stesso tempo anche di studiare queste tecnologie. “Ma per difendersi bisogna conoscere le tecnologie, ad esempio cinesi, che sono molto avanti sul fronte della sicurezza”.
Di Martino (Delinea): “Identità digitale anello debole che va assolutamente protetto”
La difesa dell’identità digitale è il core business di Delinea. “L’identità digitale è un aspetto che molte volte viene sfruttato per degli attacchi – dice Marco Di Martino, Director Sales Engineering di Delinea – è uno degli anelli deboli, assolutamente da proteggere. L’AI viene usato anche dagli attaccanti e questo ha reso possibile a piccoli Stati, un tempo assolutamente irrilevanti, accedere a dei playbook di attacchi che sono oggi diventati accessibili”.
“Sull’Iran ne abbiamo gia’ discusso. Percui vorrei citare un caso emblematico della Corea del Nord, dove c’è un legame stretto fra cybercrime e geopolitica perché è abbastanza evidente che il Paese utilizzi i proventi del cybercrime per finanziare il programma del partito e anche quello nucleare. In quel paese vi è stato un attacco molto importante che ha sfruttato le identità, utilizzando una struttura proxy per eliminare l’attribuzione allo Stato che l’ha ordinato. In quel caso è stata violata l’identità di un amministratore di sistema di una terza parte con il furto di 1,5 miliardi di dollari in criptovalute. Nelle prime 48 ore erano già stati trafugati 160 milioni di dollari e questo è stato possibile perché l’attaccante ha sfruttato l’identità di una terza parte”.
Le stesse identità rubate in un data breach vengono utilizzate poi per diversi fini ad esempio a scopo di spionaggio o per semplice truffa.“E’ sempre più difficile capire a chi attribuire la responsabilità di un attacco”. Tanto più che nel dominio cyber le rivendicazioni sono sempre più rare. Questo vale anche a livello di Stati.
Fanuli (TrendAI): “Cybercriminali sempre più specializzati”
Un elemento emerso nel panel è la crescente specializzazione nell’ambito del cybercrime. “I cybercriminali sono sempre più specializzati, con capacità specifiche che compongono una filiera complessa – ha detto Marco Fanuli, Technical Director Italy di TrendAI, business unit di Trend Micro – ad esempio, ci sono threat actors in grado di entrare nel perimetro per poi rivendere l’accesso a chi invece è specializzato nell’atto di esfiltrare i dati o muoversi lateralmente. Il Ransomware-as-a-service è soltanto uno dei fenomeni che vediamo nel mercato nero”.
Tanto più che oggi il cybercrime può contare anche sull’AI e sull’automatizzazione degli attacchi, il che garantisce una scala di gran lunga superiore.
“Oggi la base della difesa secondo TrendAI è lo sharing delle informazioni – aggiunge Fanuli – ad esempio, con Europol abbiamo avuto una profonda e costante collaborazione di info sharing, le informazioni non possono rimanere nell’ambito del vendor. Anche in Italia esiste un’analoga collaborazione con l’ACN, che accede alla nostra threat intelligence per ridurre i tempi di reazione e di diffusione degli alert sulle minacce”.
Barrile (Ferrovie dello Stato): “Cyber difesa delle terze parti fondamentale per le infrastrutture critiche come la nostra”
“Noi come Ferrovie dello Stato rappresentiamo un modello convergente per definizione di sicurezza fisica, logica e delle telecomunicazioni – ha detto Riccardo Barrile, Direttore Security, Rete Ferroviaria Italiana Gruppo Ferrovie dello Stato – Si tratta di tre ambiti nevralgici per l’infrastruttura critica che rappresentiamo. Noi subiamo attacchi di ogni genere anche da parte di attaccanti poco specializzati, che possono attaccarci tramite strumenti come il ransomware e gli accessi in modalità as-a-service”. Il numero di attacchi è enorme.
“Considerato che noi trasportiamo persone, dobbiamo garantire sicurezza a tutti gli operatori ferroviari che occupano il binario”, aggiunge Barrile, che notare come molti attacchi subiti dalle Ferrovie riguardano l’esfiltrazione di dati “che probabilmente saranno utilizzati in futuro”, dice Barrile. Ma anche “per studiare la topologia della rete”, che è molto complessa e che è al centro dell’attenzione degli attaccanti. Ad esempio, “il taglio di cavi nei tombini non è certo casuale, è un danno gravissimo che causa il blocco della circolazione”.
Considerato che FS dispone di 17mila chilometri di rete e trovare il tombino giusto lungo la rete non è certo causale, per gli attaccanti conoscere esattamente l’ubicazione dei cavi è un’informazione fondamentale. “Tutto ciò fa riflettere anche sulle terze parti, che hanno subito una esfiltrazione” che poi magari è risultata in un attacco mirato e in un conseguente blocco della circolazione. In altre parole, la debolezza di un anello della catena, anche sul fronte dei partner e dei fornitori, può provocare dei danni gravi nel caso infrastrutture critiche come la rete ferroviaria.
Caflisch (Openvas): “Sovranità europea nella cybersecurity sta diventando necessaria”
Un fattore comune a tutti i tipi di minaccia è la “sfruttabilità della minaccia, l’agire o meno per difendersi, la capacità di chi attacca di poterla sfruttare – ha detto Riccardo Caflisch, Regional Director South Europe & Balcans di Openvas – c’è poi una macro provenienza geopolitica delle minacce, lo sfruttamento a scopo di lucro di una minaccia, guerra ibrida e a volte statualità di alcuni attacchi. A volte alcuni attacchi sono indirizzati contro l’infrastruttura critica di un paese per creare un danno economico generale che non rappresenta un guadagno diretto per gli attaccanti”.
In un contesto di tale complessità, “serve una soluzione di cybersecurity che sia sovrana all’interno dell’Unione Europea – aggiunge Caflisch – La sovranità europea anche per quanto riguarda la cybersecurity sta diventando necessaria. Non possiamo più rimanere in balia di fattori geopolitici che, negli ultimi due anni, hanno letteralmente stravolto ogni scenario”.
Caputo (HPE): “Quando il cybercrime diventa sistemico anche la nostra risposta deve diventare sistemica”
“Chi sa governare le vulnerabilità della rete ne controlla l’accesso e, di conseguenza, la protezione degli asset strategici – dice Salvatore Caputo, SASE & Security Specialist di HPE. La cybersecurity si è evoluta ormai in cyber resilienza, intesa come la capacità di dare la continuità operativa. Quando il cybercrime diventa sistemico, anche la nostra risposta deve diventare sistemica. Per fare ciò ci viene in aiuto la normativa, a partire dalla NIS 2. Anche l’obbligo di notificare un attacco entro 24 ore rappresenta un vero cambio di paradigma, perché rafforza la sicurezza dell’intero ecosistema e non solo del singolo soggetto colpito”.
Seguici anche sul nostro canale WhatsApp
