L’uso sempre più diffuso dell’intelligenza artificiale da parte dei gruppi criminali accelera la diffusione di ransomware e phishing mirato. E’ l’evidenza su cui insiste il report Acronis che studia il quadro globale delle minacce con un focus specifico anche sullo scenario italiano, con casi concreti che testimoniano la vulnerabilità delle aziende e la centralità degli Msp nella catena del rischio.
Entriamo nei dettagli, prima di tutto, con una nota metodologica. Acronis Cyberthreats Report H1 2025 offre un quadro globale delle rilevazioni effettuate dall’Acronis Threat Research Unit e dai sensori Acronis sugli endpoint Windows tra gennaio e giugno del 2025. Le analisi si basano su oltre un milione di endpoint unici distribuiti a livello globale e includono statistiche specifiche sulle minacce rivolte ai sistemi operativi Windows (coprono una diffusione maggiore rispetto alle piattaforme MacOS e Linux).
Ransomware, minaccia persistente
Il primo semestre si chiude con una conferma, quasi attesa: il ransomware continua a rappresentare la minaccia più grave e diffusa per le imprese. Si parla di un aumento del 70% nel numero di vittime note pubblicamente rispetto agli stessi periodi del 2023 e del 2024. È un dato che non sorprende, ma che fotografa la resilienza del modello criminale basato sulla doppia estorsione e sull’accesso facilitato tramite servizi RaaS, il ransomware-as-a-service. In questo scenario, i gruppi più consolidati mantengono un ritmo costante di attacchi, mentre nuove sigle fanno ingresso approfittando delle operazioni di smantellamento condotte dalle forze dell’ordine, innescando una sorta di effetto “whack-a-mole” per cui ogni volta che un gruppo viene chiuso o frammentato, emergono nuove varianti ancora più stealth e focalizzate su campagne di data exfiltration silenziosa. Secondo Acronis, il mese peggiore è stato febbraio, con quasi mille vittime registrate, soprattutto a causa di una campagna di Cl0p che ha sfruttato in modo massivo vulnerabilità critiche nelle piattaforme di trasferimento file. Questa escalation conferma che la gestione delle patch e la tempestività negli aggiornamenti restano uno dei punti più critici per le aziende, che troppo spesso si trovano a subire gli effetti di exploit già noti ma non ancora risolti.
Elemento di novità – ma solo relativa, per gli addetti ai lavori – e che attraversa l’intero report è l’impatto dell’intelligenza artificiale sull’ecosistema del cybercrime. L’AI non è ancora stata integrata in tutte le fasi della kill chain, ma è un ingrediente costante delle campagne più sofisticate. I gruppi criminali utilizzano strumenti legittimi o soluzioni sviluppate internamente per produrre impersonificazioni sempre più realistiche, generare deepfake vocali e video, automatizzare campagne di phishing e creare contenuti ingannevoli su larga scala con costi ridotti e tempi minimi.
Acronis sottolinea inoltre che gli attacchi di social engineering e di business email compromise sono cresciuti dal 20 al 25,6% nei primi cinque mesi del 2025, un balzo attribuito proprio alla capacità dell’AI di costruire identità digitali credibili. Episodi che, come è noto, hanno impattato direttamente anche il nostro Paese. Senza far riferimento poi alla capacità di infiltrarsi nelle aziende tecnologiche europee e statunitensi, da parte del cybercrime spacciandosi per sviluppatori remoti e ottenendo accesso a codice sorgente e sistemi AI. Il fenomeno dimostra che la linea di confine tra cybercrime comune e minacce geopolitiche si assottiglia sempre di più, con un uso spregiudicato dell’AI che rende difficile distinguere tra operazioni di intelligence e criminalità a scopo di lucro.
Phishing, il vettore di attacco più diffuso
Il phishing resta il vettore d’attacco più diffuso, ma le modalità stanno cambiando. Se per anni le email sono state il canale privilegiato, oggi le piattaforme di collaborazione come Microsoft Teams e Slack sono obiettivi privilegiati per i cybercriminali. Secondo il report, la quota di attacchi veicolati da queste app è passata dal 9 al 30,5% in un solo anno. Questo dato riflette il peso crescente degli ambienti di lavoro ibridi, in cui strumenti di collaborazione digitale sono ormai centrali nelle attività quotidiane di milioni di lavoratori. Le email, pur rimanendo un canale significativo, mostrano un calo degli attacchi di phishing tradizionali, passati dal 79 al 69,8%.
Tuttavia, Acronis segnala che nei backup delle caselle Microsoft 365 è stato rilevato un numero allarmante di allegati malevoli, oltre 200mila nel semestre, compresi file migrati da piattaforme precedenti. Circa l’1,47% delle email sottoposte a scansione conteneva malware, mentre il 40% delle Url era riconducibile a link di phishing e il 30% a siti dannosi. Questo conferma che i criminali non si limitano a colpire i flussi di comunicazione in tempo reale, ma scavano anche negli archivi, sfruttando dati obsoleti che rimangono vulnerabili se non adeguatamente protetti.
Msp, obiettivo strategico
Una parte significativa del report è dedicata ai managed service provider, che continuano a rappresentare un obiettivo ad alto valore per i cybercriminali. Pur registrando un calo nel numero assoluto di incidenti, passati da 76 a 47 rispetto al 2024, gli Msp restano centrali nella catena di attacco, perché il loro accesso privilegiato a numerosi clienti li rende un moltiplicatore di impatti. Le tecniche utilizzate stanno evolvendo. Gli exploit su Rdp sono quasi scomparsi, scesi dal 24 al 3%, un segnale che l’adozione diffusa di autenticazione multifattoriale e il rafforzamento degli endpoint stanno dando risultati. Tuttavia, crescono – proprio su questi obiettivi pure – le campagne di phishing mirato, che oggi costituiscono il 52% di tutti gli attacchi rilevati, e aumenta lo sfruttamento delle vulnerabilità non corrette, passate dal 23 al 27%.
Il dato più preoccupante riguarda l’abuso degli strumenti di remote monitoring and management. TeamViewer, ConnectWise ScreenConnect e Splashtop sono stati più volte sfruttati per distribuire ransomware su larga scala, disattivare backup e muoversi lateralmente nelle reti aziendali senza destare sospetti. Tra i clienti Acronis, TeamViewer è risultato il software con il maggior numero di vulnerabilità, colpendo oltre il 4,5% degli utenti. Questo evidenzia un punto debole cronico: la lentezza nell’applicazione delle patch su strumenti core per la gestione remota, che in contesti complessi e distribuiti può aprire la strada a intrusioni devastanti.
I settori più colpiti, i casi italiani
Dal punto di vista settoriale, il manifatturiero si conferma il comparto più bersagliato dai gruppi ransomware, con il 15% degli attacchi registrati nel primo trimestre. Seguono il retail e il food & beverage con il 12% e il settore telco e media con il 10%. Questa distribuzione non è casuale: il manifatturiero rappresenta un nodo strategico nelle catene di fornitura, mentre retail e telco gestiscono grandi volumi di dati personali e finanziari, obiettivi particolarmente appetibili per gli estorsori digitali.
Il focus italiano offre uno spaccato concreto di questa pressione. Nel giugno 2025, Ppm Industries, realtà manifatturiera, è stata colpita dal gruppo Sarcoma, che attraverso phishing e vulnerabilità non corrette ha trafugato quasi 300 Gbyte di dati. Nel luglio 2025, Alascom, attiva nel settore retail, ha subito un attacco del gruppo Qilin che ha esposto informazioni personali e dati dei clienti. In agosto, un system integrator italiano è stato vittima del gruppo Rhysida, che ha sottratto dati sensibili chiedendo un riscatto pari a 5 bitcoin, circa mezzo milione di euro. Anche aziende come RideWill, attiva nel commercio elettronico, hanno subito violazioni che confermano come nessun segmento sia immune.
Questi episodi dimostrano che la minaccia non riguarda solo grandi multinazionali, ma colpisce direttamente il tessuto industriale e commerciale italiano, mettendo a rischio dati proprietari, proprietà intellettuale e la fiducia dei clienti.
Malware e Url dannose, l’Italia nella top five mondiale
Il report dedica un’analisi approfondita anche al panorama dei malware. I trojan si confermano la categoria più diffusa, superando il 50% dei campioni bloccati e includendo varianti come bot, info-stealer e Rat. L’elemento di novità è rappresentato dal malvertising, emerso come principale canale di infezione. Questo fenomeno riflette un uso particolarmente raffinato delle tecniche di distribuzione, in cui gli attaccanti sfruttano circuiti pubblicitari compromessi per diffondere codice malevolo in maniera capillare.
L’Italia emerge in questa sezione con un dato significativo: a maggio 2025 il nostro Paese è stato il quinto al mondo per rilevazioni di malware, con una quota del 7,4% che aveva toccato un picco del 9% a marzo. La classifica vede l’India al primo posto con il 12,4%, seguita dal Brasile con l’11% e dalla Spagna con il 10,2%. Questo posizionamento colloca l’Italia in una fascia critica, soprattutto considerando la densità di PMI e la loro spesso limitata capacità di difesa rispetto a organizzazioni più strutturate.
Le implicazioni per il mercato italiano
L’insieme delle evidenze raccolte porta a una conclusione chiara: l’Italia è parte integrante di uno scenario globale in rapido deterioramento. I casi riportati mostrano che la combinazione tra supply chain vulnerabili, uso malevolo dell’intelligenza artificiale e ritardi nella gestione delle patch crea un terreno fertile per campagne ransomware e phishing mirato. Le aziende italiane si trovano esposte a un doppio rischio: da un lato la compromissione diretta delle proprie infrastrutture, dall’altro la vulnerabilità derivante da partner e fornitori che diventano cavalli di Troia per intrusioni più ampie.
Le raccomandazioni
Acronis indica un approccio olistico alla cyber protection come unica via per contenere i rischi. Ciò significa combinare prevenzione, rilevamento, risposta e capacità di ripristino in un framework integrato. Le organizzazioni devono adottare strumenti di rilevamento basati sul comportamento per intercettare tecniche elusive come la process injection e l’uso malevolo di PowerShell. È necessario rafforzare le policy di autenticazione, adottare modelli di zero trust e accelerare l’applicazione delle patch, soprattutto su piattaforme Rmm e software di terze parti che rappresentano punti di accesso privilegiati. L’attenzione deve essere rivolta anche alle app di collaborazione, oggi – lo abbiamo visto – un obiettivo prioritario per i criminali. Senza un monitoraggio costante e strumenti avanzati di filtraggio, queste piattaforme rischiano di trasformarsi in un canale incontrollato per la diffusione di malware e campagne di ingegneria sociale.
© RIPRODUZIONE RISERVATA
