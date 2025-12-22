“I settori maggiormente colpiti, rispetto agli eventi cyber monitorati, sono stati la Pubblica Amministrazione centrale, la Pubblica Amministrazione locale e il comparto delle Telecomunicazioni“. Tutto questo ha confermato “la persistente esposizione di ambiti strategici del sistema Paese“.

In Italia, “nel mese di novembre 2025 sono stati registrati 182 eventi cyber, in diminuzione del 32% rispetto ai 267 di ottobre“. Lo ha scritto l’Agenzia per la cybericurezza nazionale (ACN) nel suo ultimo Operational Summary.

Nel documento, si legge ancora, che il numero di incidenti, 54, “è in aumento del 13% rispetto al mese precedente“. Ottobre, in confronto a settembre, aveva invece visto un calo degli incidenti significativo, pari al 9%.

Più nel dettaglio, si è confermata l’esposizione di alcuni settori, in relazione al numero di danni da eventi cyber. Anche a novembre sono stati:

Pubblica amministrazione locale.

Pubblica amministrazione centrale.

Telecomunicazioni.

Novembre 2025 in numeri

Meno attività riconducibili “alla matrice hacktivista“

L’ACN ha rilevato come nel corso del mese si è osservata “una riduzione dell’attività riconducibile alla matrice hacktivista“. Tale attività “ha rappresentato il 31% degli eventi complessivamente monitorati, rispetto al 49% registrato a ottobre“.

La flessione è principalmente associata al calo degli attacchi di tipo DDoS. Attacchi, che nel periodo hanno interessato soprattutto il settore dei Trasporti e la Pubblica Amministrazione, sia a livello centrale sia locale.

La tipologia degli eventi cyber

I 182 eventi cyber di novembre hanno interessato 158 soggetti nazionali. Di questi:

109 appartenenti alla constituency .

. Gli altri hanno riguardato cittadini e società private operanti in “settori non critici“.

Dei 182 eventi cyber, “54 sono stati classificati quali incidenti, in aumento del 13% rispetto ad ottobre“. Parallelamente, e in linea con quanto già osservato nei mesi precedenti, ci sono state delle rivendicazioni relative a compromissioni di interfacce di sistemi SCADA. Nel caso di merito, riconducibili a piccole imprese del comparto manifatturiero.

I soggetti potenzialmente coinvolti sono stati tempestivamente informati. Il fine è quello di “consentire le necessarie verifiche tecniche e l’adozione delle opportune misure di mitigazione“.

Vulnerabilità e comunicazioni attive

Tra le attività di monitoraggio della superficie esposta dei soggetti italiani, c’è stato l’invio di 423 comunicazioni di allertamento. Oggetto delle comunicazioni sono state P.A. e imprese che “esponevano su Internet 614 servizi a rischio, in particolare per la presenza di prodotti potenzialmente vulnerabili“.

Sempre nell’ambito del monitoraggio proattivo, c’è stata l’individuazione di una nuova attività malevola, la cui finalità è ll’installazione di varianti aggiornate della webshell “BadCandy”. Associata a minacce avanzate e osservata per la prima volta nell’ottobre 2023, presenta un “possibile impatto su alcuni dispositivi Cisco di rete“.

In calo le CVE

A novembre 2025 c’è stata la pubblicazione 3.115 nuove CVE, in diminuzione (−1.269) rispetto ad ottobre. Di queste, 485 hanno presentato almeno un Proof of Concept (PoC), in diminuzione (−102). Allo stesso tempo, per 5 CVE gli analisti dell’ACN hanno rilevato lo sfruttamento attivo, stabile (−2) rispetto ai precedenti 31 giorni.

Le comunicazioni dirette effettuate dal CSIRT Italia per segnalare potenziali compromissioni o fattori di rischio ad amministrazioni e imprese italiane sono state complessivamente 1.420. Anche in questo ambito c’è stato un calo rispetto a ottobre. Si è così confermata “un’intensa e continua attività di prevenzione e supporto alla sicurezza cibernetica nazionale“.

Nessun attacco ransomware contro soggetti critici

Da rimarcare, il fatto che a novembre 2025 non si sia “registrato nessun attacco ransomware contro soggetti critici o soggetti a media criticità“. Si è in questi termini confermata “la preferenza di questa tipologia di attaccanti a colpire obiettivi meno strutturati e dotati di limitate capacità di cybersicurezza“.

l monitoraggio di fonti aperte nel mese di novembre 2025 ha permesso di individuare 11 rivendicazioni di attacchi ransomware a danno di soggetti italiani.

