Attacchi in Italia 2025: cosa significano i numeri (e cosa cambia per noi)

Non è solo tecnologia: è quotidianità

Nel primo semestre 2025 l’Agenzia per la Cybersicurezza Nazionale ha contato 1.549 eventi (+53% anno su anno) e 346 incidenti con impatto confermato (+98%). Non è un bollettino per addetti ai lavori: vuol dire che, mentre proviamo a pagare un bollo, prenotare una visita, o semplicemente leggere la posta, dall’altra parte qualcuno prova più spesso a truffarci e con più successo. Colpiscono dove fa più male: phishing, esposizione di dati, DDoS (gli attacchi che mettono KO i siti). (fonte: Agenzia per la Cybersicurezza Nazionale, comunicato 4 agosto 2025 — https://short.staipa.it/tbtp5; Operational Summary H1 2025 — https://short.staipa.it/ccdo1).

Perché adesso

C’è un doppio movimento. Da una parte i criminali hanno industrializzato il mestiere: infrastrutture con migliaia di domini, automatismi, perfino IA per confezionare messaggi più credibili. Dall’altra noi —come Paese— vediamo meglio: il CSIRT segnala, le Pubbliche Amministrazioni riferiscono, le aziende stanno più attente. È come accendere più lampadine in una stanza: scopriamo polvere che prima non vedevamo, ma nel frattempo qualcuno continua a gettarne altra.

Cosa c’è davvero dietro quei numeri

Prendiamo i DDoS: nel 2024, nei primi sei mesi, erano 336; nel 2025, 598 (fonte: ACN, comunicato 4/08/2025 — https://short.staipa.it/tbtp5). Non sono scenari da film: l’effetto pratico è la pagina che non si apre, il servizio online che fa cilecca, la fila digitale che non scorre. Sul fronte phishing ed esposizione dati cresce la casistica di credenziali rubate e archivi lasciati per sbaglio alla portata di tutti: poi tocca a noi correre dietro a reset password, account bloccati, furti d’identità. Il ransomware non fa notizia tutti i giorni, ma quando colpisce —sanità, università, energia— ferma davvero le cose. E quando parliamo di PA non è teoria: il Comune di Pisa ha subito a maggio 2025 un attacco con esfiltrazione di dati poi pubblicati (fonte: Il Tirreno — https://short.staipa.it/sr9r9; l’Università Roma Tre ha dichiarato di essere sotto attacco ransomware con servizi in difficoltà per giorni (fonte: Il Foglio — https://short.staipa.it/q3ci2); più di recente, l’Università Pontificia Salesiana ha avuto sito e servizi digitali inaccessibili dopo un attacco (fonte: Cybersecitalia — https://short.staipa.it/uiq77).

Al lavoro: i messaggi che ingannano

Molti attacchi passano dalle caselle aziendali e dagli strumenti di lavoro. Arrivano come email “dell’IT” che chiedono di confermare la password, avvisi che dicono “casella piena”, finte buste paga da HR, documenti “condivisi” su piattaforme note, inviti a riunioni con link, notifiche su “pacco in giacenza”, urgenze contabili da finti fornitori, persino IBAN cambiati all’ultimo minuto. Il punto non è ricordarsi ogni trucco, ma applicare poche regole semplici: i conti si controllano dal gestionale, l’IT non chiede password via email o telefono, le variazioni di pagamento si verificano chiamando un numero già in rubrica. Se un link chiede un login inatteso, fermiamoci e apriamo il servizio dall’icona che usiamo di solito. E se un “capo” scrive su WhatsApp di pagare subito, ricordiamoci che il numero può essere falsificato: richiamiamo.

E noi, concretamente, cosa facciamo?

Cominciamo dal buon senso digitale. I link che arrivano via mail o SMS non sono mai urgenti quanto sembrano: se un messaggio parla di “conto bloccato” o “pacco in giacenza”, non tocchiamo quel collegamento; apriamo l’app ufficiale o digitiamo l’indirizzo a mano. Sul browser possiamo dare una mano ai filtri: su iPhone/iPad c’è l’Avviso sito web fraudolento (Impostazioni → Safari), su Chrome la sezione Sicurezza (Safe Browsing) (Impostazioni → Privacy e sicurezza → Sicurezza), su Firefox la Protezione dai contenuti ingannevoli, su Edge lo SmartScreen. Non è magia, ma toglie molte spine prima che le tocchiamo.

Poi rendiamo inutili le password rubate. Attiviamo la verifica in due passaggi (2FA) ovunque conti davvero —posta, social, cloud, banca— e, quando l’app lo permette, usiamo app autenticatore o passkey. In banca abbassiamo i limiti per bonifici istantanei e per i nuovi beneficiari e accendiamo le notifiche per ogni movimento: meglio un avviso in più che una sorpresa in meno. Sono dieci minuti di impostazioni che valgono molto.

Infine prepariamo il piano B per il “se succede a noi”. Se un servizio che usiamo annuncia un data breach, cambiamo la password, chiudiamo le sessioni aperte e controlliamo le app collegate: spesso il ladro resta dentro da lì. Se capiamo di aver dato credenziali su un sito‑trappola, non perdiamo tempo: password nuova, 2FA attiva e — se abbiamo consegnato OTP o dati di carta — contatto immediato con la banca per il blocco. Quando i nostri dati vengono pubblicati, raccogliamo prove (screenshot con orario e URL), chiediamo la rimozione alla piattaforma e denunciamo: si può farlo online sul sito del Commissariato di PS (https://www.commissariatodips.it/segnalazioni/segnala-online/index.html). Se un sito istituzionale è irraggiungibile per un DDoS, non insistiamo con refresh e login: aspettiamo la mitigazione e usiamo canali alternativi (app, sportelli, call center).

Perché PA, telco, sanità ed energia sono nel mirino

Reggono la vita quotidiana: pagare un tributo, prenotare una visita, telefonare, avere luce e rete. Hanno perimetri enormi, spesso con sistemi nuovi accanto a sistemi vecchi, tante integrazioni e una filiera di fornitori esterni. Questo crea molti punti d’ingresso e una bassa tolleranza ai disservizi: un’ora di stop vale molto, quindi la pressione di un ricatto o di un blocco fa più effetto. Inoltre custodiscono banche dati ricchissime di informazioni personali e operative: materiale prezioso per furti, truffe e rivendite.

Perché te lo racconto qui

Perché questi numeri non servono a spaventare, ma a mettere in ordine le priorità. La buona notizia è che non siamo disarmati: tra filtri migliori, passkey, backup automatici e più trasparenza sui breach, possiamo ridurre parecchio la superficie d’attacco. L’uso consapevole è questo: scegliere strumenti che ci proteggono anche quando siamo stanchi, e sapere con calma quale leva tirare quando qualcosa non va.

#2FA #ACN #attacchiInformatici #Clusit #CSIRTItalia #cybersecurityItalia2025 #dataBreach #DDoS #PasswordManager #phishing #Privacy