“Gli attori malevoli si stanno concentrando su strumenti e servizi digitali di largo consumo, con l’obiettivo di sfruttare la fiducia riposta dai cittadini nelle piattaforme istituzionali“.

Nel 2025 il CERT-AgID ha censito 3620 campagne malevoli, con “328 campagne specifiche a tema PagoPA e un aumento in modo significativo dell’abuso della PEC come vettore di campagne malevole“. Nel caso della posta certificata si certifica un aumento dell’80%, pari a 103 eventi. Questo è lo scenario che emerge dal Report CERT-AgID 2025.

In generale, sono stati “oltre 51500 gli indicatori di compromissione diramati tempestivamente alle PA“. I temi più diffusi nelle campagne di phishing e malware riguardano “ordini e spedizioni, home banking, multe e pagamenti. Seppur in calo, persistono le campagne veicolate via SMS“.

Dai dati si sottolinea un quadro di forte evoluzione tecnologica. “Gli attori malevoli si stanno concentrando su strumenti e servizi digitali di largo consumo, con l’obiettivo di sfruttare la fiducia riposta dai cittadini nelle piattaforme istituzionali“.

Mario Nobile, Direttore Generale dell’Agenzia per l’Italia Digitale, sarà uno dei relatori della quinta edizione della Conferenza Internazionale CyberSEC – Cybercrime e Cyberwar: Norme, Geopolitica e Cybersecurity per una Difesa Comune, promossa e organizzata da Cybersecurity Italia in collaborazione con la Polizia di Stato, che si terrà a Roma il 4 e 5 marzo 2026 presso la Scuola Superiore di Polizia.

Le principali tendenze cyber

In totale, nel rapporto si è proceduto ad identificare 90 famiglie malware. All’interno dei campioni analizzati, sottolinea il CERT-AgID, circa il 60% rientra nella categoria degli infostealer. Al contempo, un ulteriore 30% è parte dei RAT (Remote Access Trojan).

Nelle tipologie rimanenti ci sono “loader, dropper e strumenti di accesso remoto legittimi ma sfruttati in maniera impropria“. Il malware più diffuso in Italia (sempre con riferimento al 2025), è stato FormBook, poco davanti a Remcos e AgentTesla.

In totale c’è stato il coinvolgimento di 153 marchi. Per gli hacker criminali, “gli obiettivi principali sono stati il furto di credenziali bancarie, di credenziali di accesso a webmail“. E insieme, “come nel caso delle campagne di phishing ai danni di PagoPA, il furto di dati di carte elettroniche di pagamento“.

I grandi canali di diffusione

Si registra, inoltre, come per diffondere vari tipi di phishing e malware il canale più sfruttato continua ad essere la Posta Elettronica Ordinaria (PEO).

Con particolare riferimento proprio alle PEC, nel confronto tra 2024 e 2025, c’è stato un aumento di campagne malevoli che le sfrutta come vettori. Una quota dell’80% di queste operazioni, per un totale di 103 eventi registrati.

In particolare, è avvenuta l’individuazione di 77 campagne di phishing, concentrate nella prima metà dell’anno e per lo più finalizzate a rubare credenziali bancarie. Inoltre, c’è stata la registrazione di 26 campagne volte a distribuire malware come MintsLoader.

Sulla base delle evidenze raccolte, “il CERT-AgID ha provveduto a informare, caso per caso, gli enti coinvolti e/o i gestori PEC interessati“. L’obiettivo è “ridurre il rischio di riutilizzo improprio delle credenziali esposte“.

Per approfondire

Leggi il Report CERT-AgID 2025 in PDF.

Seguici anche sul nostro canale WhatsApp