Nel primo semestre del 2025, l’Italia ha vissuto un’escalation senza precedenti di minacce informatiche. Il nuovo report semestrale dell’Agenzia per la Cybersicurezza Nazionale (ACN), pubblicato a luglio, racconta un Paese sempre più esposto, ma anche più consapevole. I numeri parlano chiaro: +53% di eventi cyber rilevati rispetto allo stesso periodo del 2024 e un drammatico +98% di incidenti con impatto confermato.
Dietro queste cifre si celano campagne di DDoS, attacchi ransomware, esfiltrazioni di dati sensibili e ondate di phishing sempre più sofisticate.
A colpire non è solo la quantità degli episodi, ma la varietà dei bersagli: dalle pubbliche amministrazioni locali e centrali, fino ai servizi di telecomunicazione, passando per settori critici come energia, università e sanità. A fronte di questo scenario, l’Italia ha rafforzato i meccanismi di risposta e prevenzione. Il CSIRT Italia, articolazione tecnica dell’ACN, ha inviato oltre 23mila comunicazioni di allertamento, pubblicato 329 alert ufficiali, identificato migliaia di dispositivi vulnerabili e svolto azioni di supporto su tutto il territorio.
In questo articolo analizzeremo nel dettaglio i dati del report ACN relativi al primo semestre 2025.
Lo faremo seguendo cinque assi: l’evoluzione quantitativa e settoriale degli attacchi, le minacce prevalenti, la Sicilia e il progetto SCS sulla cyber-resilienza, il ruolo operativo del CSIRT, e infine le prospettive strategiche per il Paese.
In questa indagine non c’è solo la mappa della minaccia, ma anche la capacità di reazione di un ecosistema digitale in trasformazione, tra pubblica amministrazione, imprese, cittadini e istituzioni regionali.
L’Italia si trova a un bivio: diventare bersaglio permanente, oppure costruire una difesa cyber distribuita, efficace, condivisa.
Il quadro generale degli attacchi informatici in Italia: +53% rispetto al primo semestre dell’anno scorso
Nel primo semestre del 2025, l’Italia ha registrato un incremento senza precedenti delle minacce informatiche. I dati del report ACN parlano chiaro: 1.549 eventi cyber censiti (+53% rispetto allo stesso periodo del 2024), e 346 incidenti con impatto confermato (+98%). In termini assoluti, 2.367 soggetti sono stati coinvolti in almeno un evento, un dato che evidenzia una diffusione capillare delle aggressioni digitali sul territorio nazionale.
Il salto quantitativo è in parte attribuibile all’entrata in vigore della Legge n. 90/2024 e del D.lgs n.138/2024, che hanno ampliato la platea dei soggetti obbligati a notificare incidenti al CSIRT Italia. Ma il trend di crescita riflette anche un’escalation reale della minaccia, sia in termini di frequenza che di sofisticazione.
I settori più colpiti sono stati tre: la Pubblica Amministrazione Locale, quella Centrale e il comparto delle Telecomunicazioni. Per la PA locale, è stata determinante la compromissione a marzo dei sistemi di un fornitore di servizi web, che ha impattato numerose amministrazioni. Nella PA centrale, il peso degli attacchi è invece attribuibile a una combinazione di DDoS, esposizione di dati e phishing.
Il settore delle telecomunicazioni ha subito un numero elevato di episodi a causa di massicce campagne di spearphishing, registrate in particolare nel mese di aprile. La distribuzione geografica delle vittime mostra un’incidenza su tutte le regioni, con concentrazioni nelle aree metropolitane e nei territori dove si trovano snodi tecnologici strategici.
Il CSIRT Italia ha individuato 4.408 asset potenzialmente compromessi e ben 18.516 asset potenzialmente vulnerabili, frutto di un’intensa attività di monitoraggio proattivo. Questa azione di intelligence preventiva ha consentito di prevenire incidenti e ridurre l’esposizione delle infrastrutture più critiche.
Inoltre, l’aumento della superficie di attacco è reso evidente dalla crescita delle nuove vulnerabilità (CVE) pubblicate: 24.098 nei primi sei mesi del 2025, contro le 20.031 del primo semestre 2024. I punti d’ingresso più sfruttati dai cybercriminali restano le email malevole, lo sfruttamento di vulnerabilità note, e l’uso di credenziali precedentemente compromesse.
Tutto ciò delinea uno scenario in cui la minaccia cyber è diventata sistemica, trasversale, persistente. Un contesto che richiede risposte coordinate, tecniche e politiche, tanto a livello centrale quanto territoriale.
Le minacce principali emerse nei primi sei mesi del 2025
Tra le minacce identificate nel primo semestre 2025, tre emergono con particolare forza: gli attacchi DDoS, i ransomware, e le campagne di phishing accompagnate da gravi episodi di esposizione dei dati.
Ecco l’elenco delle tipologie degli attacchi più comuni rilevati:
Nonostante l’elevato numero di eventi, solo il 13% ha prodotto impatti concreti, grazie all’efficace allertamento del CSIRT Italia e alle contromisure adottate. Tuttavia, questi attacchi restano una minaccia significativa per la continuità dei servizi pubblici online.
Gli attacchi ransomware si distinguono per la loro capacità di bloccare intere infrastrutture, esfiltrare dati e richiedere riscatti in criptovalute. Le tecniche utilizzate si sono evolute: oggi i cybercriminali uniscono accessi remoti, vulnerabilità note e campagne mirate.
-Phishing ed esposizione di dati: Il phishing resta uno dei vettori più comuni: nel semestre, il CSIRT Italia ha individuato 1.530 URL artefatte usate per carpire credenziali agli utenti. Particolarmente intensa la campagna di maggio nel settore energetico.
Le esposizioni di dati sono raddoppiate rispetto all’anno precedente: 186 episodi contro i 91 del primo semestre 2024. I dati sottratti provengono da enti pubblici, piattaforme di streaming, servizi e-commerce e, in alcuni casi, profili utente del social network X. Notevole anche la vendita illegale di credenziali bancarie sul dark web, monitorata e contrastata attivamente dal CSIRT.
-Vulnerabilità sfruttate: Durante il semestre, sono state identificate e pubblicate 329 vulnerabilità particolarmente gravi, in prodotti come Citrix NetScaler, Microsoft Active Directory, Fortinet, Mozilla Firefox, PostgreSQL, Samsung MagicINFO e Mattermost. Alcune vulnerabilità zero-day sono state oggetto di attacchi prima ancora della diffusione di patch correttive.
A spiccare tra le vulnerabilità più pericolose è la CVE-2025-5777, nota come “CitrixBleed 2”, che ha permesso potenziali accessi non autorizzati a dati in memoria.
Queste falle mostrano quanto sia fondamentale una tempestiva adozione delle patch e un continuo aggiornamento dei sistemi critici.
Focus Sicilia – Il Progetto per la Cyber-Resilienza Locale
In un panorama nazionale in allarme, la Sicilia si distingue per l’avvio di un progetto strutturato di resilienza cyber a livello regionale. Si tratta del programma SCS – Sicily Cyber Security, promosso dalla Regione Siciliana in collaborazione con l’ACN e con il supporto tecnico-scientifico delle principali università dell’isola.
Il progetto mira a creare una rete regionale di competenze, allertamento e risposta agli incidenti, coinvolgendo enti locali, aziende sanitarie, enti digitali pubblici e soggetti privati strategici. L’obiettivo è duplice: migliorare la capacità di prevenzione e contenimento delle minacce, e promuovere la formazione continua del personale IT locale.
Tra i primi risultati, la creazione di un nodo regionale collegato con il CSIRT nazionale, una piattaforma di monitoraggio condivisa per la rilevazione di anomalie e l’adozione di protocolli comuni per la gestione degli incidenti.
Nel primo semestre 2025, la Sicilia ha risposto a vari episodi di phishing e data breach, con impatti contenuti grazie all’attivazione tempestiva della rete SCS. Particolarmente rilevante l’intervento presso un sistema ospedaliero locale, dove è stato sventato un tentativo di ransomware ai danni della rete diagnostica.
Il progetto SCS rappresenta un modello esportabile in altre regioni. Prevede anche l’inclusione di scuole, enti di ricerca e startup, nella logica di una sicurezza partecipata e distribuita.
L’obiettivo principale è ora scalare il progetto, stabilizzarne i fondi, e trasformarlo in una infrastruttura permanente della pubblica amministrazione siciliana.
Il Ruolo di CSIRT Italia e ACN
Il CSIRT Italia (Computer Security Incident Response Team) è l’unità operativa dell’ACN responsabile della gestione degli eventi e incidenti cyber. Nel primo semestre 2025 ha intensificato l’attività su più fronti: prevenzione, rilevazione, allertamento e supporto tecnico.
In soli sei mesi, ha inviato 23.144 comunicazioni di allertamento, contro le 21.224 del primo semestre 2024. Queste comunicazioni riguardano dispositivi compromessi, vulnerabilità gravi, esposizioni non intenzionali di asset digitali.
In parallelo, il CSIRT ha pubblicato 329 alert tecnici sul portale ufficiale, fornendo contromisure tempestive e aggiornamenti su minacce emergenti.
Ha anche partecipato a diverse operazioni internazionali, come l’azione Endgame, che ha portato all’individuazione di oltre 1.977 dispositivi utilizzati per distribuire ransomware.
Tra le attività più rilevanti, il monitoraggio proattivo condotto a giugno per individuare dispositivi esposti alle vulnerabilità Citrix, che ha permesso di allertare 638 soggetti critici. Importante anche l’individuazione di 1.245 indirizzi IP italiani coinvolti nella botnet DDoS Eleven11bot.
Il CSIRT non si limita a un ruolo tecnico. Funziona sempre più come un hub strategico tra pubblico e privato, catalizzando informazioni, competenze e interventi. La sua azione è uno dei pilastri della sicurezza nazionale.
L’evoluzione del sistema di difesa della cybersecurity nel futuro: quali scenari?
Il primo semestre del 2025 ha messo l’Italia di fronte a una sfida cruciale: fronteggiare una minaccia cyber in crescita esponenziale, che colpisce trasversalmente istituzioni, imprese e cittadini. Il report ACN offre una mappa dettagliata di questo scenario, ma soprattutto indica le contromisure già in atto e quelle ancora da rafforzare.
Serve una strategia integrata che unisca prevenzione tecnica, formazione costante, responsabilizzazione dei vertici politici e amministrativi. Le vulnerabilità, il phishing e i ransomware non sono solo problemi informatici: diventano problemi di governance, di fiducia, di continuità dei servizi essenziali.
Gli investimenti in cyber-resilienza non possono essere emergenziali o settoriali. Occorre una pianificazione triennale, stabile, che coinvolga tutto il sistema educativo, dalla scuola secondaria fino alla formazione avanzata.
Il report ACN lancia un messaggio chiaro: la sicurezza informatica non è un costo, ma un’infrastruttura nazionale, tanto quanto l’energia o i trasporti. L’Italia ha ora gli strumenti normativi, le competenze operative e l’esperienza per giocare un ruolo da protagonista.
I prossimi obiettivi a livello regionale e nazionale dovranno essere quelli di estendere e consolidare questi strumenti in ogni comune, in ogni ente, in ogni azienda. Perché solo una sicurezza diffusa può costruire un futuro digitale stabile e affidabile per il Paese a difesa della Pubblica Amministrazione, enti strategici, aziende e cittadini.
FONTE DATI: Operational_Summary_H1_2025_ACN
NOTA METODOLOGICA
Il report, redatto dall’Agenzia per la Cybersicurezza Nazionale (ACN), si basa sull’analisi dei dati relativi alle attività operative del CSIRT Italia, l’articolazione tecnico-operativa dell’ACN. La metodologia adottata si concentra sulla raccolta, analisi e classificazione di eventi e incidenti cyber nel primo semestre del 2025, confrontandoli con i dati dello stesso periodo del 2024.
Le fonti dei dati sono eterogenee:
- Notifiche di incidenti: Il CSIRT Italia funge da punto di riferimento nazionale per le notifiche obbligatorie e volontarie, previste da normative quali il Perimetro di Sicurezza Nazionale Cibernetica, la Legge n. 90 del 2024 e il D.lgs n. 138 del 2024, che recepisce la Direttiva NIS2.
- Fonti aperte e commerciali: Il CSIRT riceve inoltre informazioni da fonti accessibili al pubblico e da fonti a pagamento.
- Collaborazioni: I dati vengono anche acquisiti da enti omologhi, sia nazionali che internazionali, che li condividono in modo spontaneo o nell’ambito di specifici accordi di collaborazione.
Dopo la raccolta, gli operatori del CSIRT Italia analizzano e classificano le informazioni come “eventi” o “incidenti cyber”. Le vulnerabilità sono altresì analizzate e organizzate per vendor, prodotto e tipologia.
Il report sottolinea che le informazioni contenute nel documento sono il risultato dell’analisi dei dati disponibili al momento della redazione e potrebbero essere soggette ad aggiornamenti a seguito di nuove evidenze o approfondimenti. Per dettagli aggiuntivi sui singoli mesi, il report rimanda agli “Operational Summary” mensili disponibili sul sito web dell’ACN.
