L’analisi sulle evidenze del 2025 nella cybersecurity, i trend e le previsioni 2026 basati anche sul Kaspersky Security Bulletin portano diretti a una constatazione difficile da ignorare: la superficie di attacco digitale si espande più rapidamente della capacità delle organizzazioni di governarla in modo strutturato. Automazione, industrializzazione del cybercrime e diffusione di modelli As a Service ridefiniscono l’economia degli attacchi, mentre il divario tra grandi imprese e piccole e medie aziende resta uno degli elementi più critici del panorama europeo e italiano. Se ne parla nel confronto con Cesare D’Angelo, general manager per Italia, Francia e regione mediterranea e Fabio Sammartino, head of Pre-Sales di Kaspersky, dati alla mano. Sono i numeri di una fotografia che comprende, da un lato l’osservazione tecnica delle minacce su scala globale; dall’altro, la percezione e la maturità (o immaturità) organizzativa delle Pmi, che “continuano a rappresentare uno degli obiettivi privilegiati dei cybercriminali”, come precisa subito D’Angelo, per due livelli di analisi che, se letti insieme, aiutano a comprendere perché il 2025 venga considerato un anno di accelerazione e perché il 2026 si profili come un passaggio decisivo sul fronte della resilienza digitale.
Sul versante delle piccole e medie imprese europee, la ricerca commissionata da Kaspersky ad Arlington Research coinvolge 880 decisori con responsabilità dirette in ambito cybersecurity, attivi in aziende con meno di 500 dipendenti. L’indagine conferma come le Pmi siano “stabilmente entrate nei radar del cybercrime non solo per la loro numerosità, ma per una combinazione di fattori strutturali: risorse limitate, competenze distribuite su team IT non specialistici e una sicurezza spesso guidata più dall’urgenza che da una visione di lungo periodo”.
In questo contesto, l’Italia emerge con un dato particolarmente rilevante: “il 25% degli attacchi alle Pmi rilevati in Europa riguarda il nostro Paese ed è riconducibile alle cosiddette Potentially Unwanted Application”, applicazioni legittime che vengono modificate o strumentalizzate per finalità malevole, rendendo più complessa l’attività di rilevamento e incontrano solo una minoranza delle aziende intervistate con una strategia solida e formalizzata (mentre il 68% ha strategie solo teoriche che non danno effetti concreti).
“Nella maggior parte dei casi, la sicurezza – specifica D’Angelo – resta solo un insieme di misure tattiche, adottate per rispondere a obblighi normativi o a incidenti specifici, più che il risultato di un percorso evolutivo coerente”. Questo approccio reattivo emerge con forza anche nel confronto tra compliance e progettualità. Come si osserva gli investimenti in cybersecurity vengono effettuati troppo spesso “perché necessari”, in risposta a requisiti regolatori o certificativi, ma senza una reale integrazione con il modello di business e con la crescita della superficie digitale. “E un conto è fare vulnerability assessment per mettere un flag sul certificato, un altro è investire per capire davvero dove sono le vulnerabilità e come ridurle nel tempo”, rimarca D’Angelo, evidenziando la distanza tra spesa minima e valore reale ottenuto.
A questa fragilità organizzativa si somma un contesto di minaccia in rapida evoluzione. Il Kaspersky Security Bulletin, basato sull’analisi dei dati provenienti da circa un miliardo di dispositivi connessi al Kaspersky Security Network, rileva nel 2025 una media di 500mila nuovi file malevoli al giorno, con un incremento del 7% rispetto all’anno precedente. Numeri che descrivono non solo una crescita quantitativa, ma soprattutto l’aumento della complessità e dell’automazione degli attacchi.
Nel confronto tra scenario globale e contesto italiano, alcune differenze risultano particolarmente significative. In Italia il peso dei password stealer è ancora più marcato rispetto alla media mondiale, con il 65% delle rilevazioni contro il 59% globale, segnale di un ecosistema in cui il furto di credenziali resta uno dei vettori principali per attacchi mirati e persistenti. Crescono poi del 73% le rilevazioni di backdoor e si registra una crescita del 148% nelle rilevazioni di spyware rispetto al 2024. In Italia circa il 27% degli utenti è vittima di malware che prendono di mira gli utenti quando sono online. Inoltre il 25% degli utenti italiani è vittima di attacchi on-device, che includono malware diffuso tramite unità Usb rimovibili, supporti esterni, o che inizialmente si insinua nel computer in forma non aperta (per esempio anche tramite programmi in installer complessi, file crittografati, ecc.). Windows rimane il sistema operativo più attaccato e l’obiettivo principale. È su questo terreno, tra automazione criminale e debolezza strutturale delle difese, che si innestano le tendenze che caratterizzeranno il 2025 e le previsioni che iniziano già a delineare il 2026.
Trend ed evoluzione delle minacce in ambito finance e industrial
Nel perimetro delle minacce settoriali, il 2025 ha segnato un punto di svolta soprattutto per finance e industria, due ambiti che, pur con caratteristiche profondamente diverse, mostrano una convergenza crescente nelle tattiche di attacco e nell’uso sistematico dell’automazione. L’analisi presentata da Noushin Shabab, Lead Security researcher del team GReAT di Kaspersky, evidenzia come i trend osservati nell’ultimo anno confermino una trasformazione strutturale dell’ecosistema del cybercrime, “sempre più capace di adattarsi ai processi operativi e tecnologici dei settori più critici”.
Nel settore finanziario, il 2025 è stato caratterizzato da una pressione costante e multiforme. I dati mostrano come l’8,15% degli utenti finance sia stato colpito da minacce online e il 15,81% da minacce locali, mentre il ransomware ha coinvolto il 12,8% delle organizzazioni b2b del comparto, con una crescita significativa rispetto all’anno precedente. Questo scenario riflette l’emergere di alcuni trend chiave che, come sottolinea Shabab, erano stati in larga parte anticipati nelle previsioni formulate a fine 2024. “Nel 2025 abbiamo visto un aumento su larga scala degli attacchi alla supply chain finance, con un incremento del 48% dei pacchetti software malevoli distribuiti attraverso ecosistemi di sviluppo legittimi”, che richiama anche il ruolo di repository come Npm (Node Package Manager) nella compromissione indiretta delle supply chain dei sistemi finanziari.
Un altro elemento distintivo è la convergenza tra criminalità organizzata e cybercrime. Le indagini condotte su attacchi ai sistemi di pagamento istantaneo mostrano come gruppi con competenze digitali avanzate operino sempre più spesso insieme a reti criminali tradizionali, combinando accesso fisico, social engineering e malware. In parallelo, “malware già noti vengono veicolati attraverso nuovi canali, in particolare le piattaforme di messaggistica”, mentre l’intelligenza artificiale consente di scalare rapidamente lo sviluppo e la personalizzazione delle campagne. “L’uso di Llm rende molto più semplice creare phishing su misura e automatizzare l’analisi degli ambienti target”, osserva Shabab, collegando questo fenomeno alla crescita degli attacchi contro il mobile banking e alle frodi Nfc. Allo stesso tempo è singolare il calo delle rilevazioni di malware Ats nel 2025 che non indica una riduzione delle frodi bancarie, ma un cambiamento delle tecniche di attacco. Come spiega Shabab, “lo smantellamento di alcune infrastrutture criminali e l’arresto di figure chiave hanno reso meno sostenibile questo modello”. Allo stesso tempo, i gruppi cyber preferiscono oggi approcci più silenziosi e flessibili, basati su furto di credenziali, accessi persistenti e rivendita del primo accesso. Di fatto “le funzionalità Ats non scompaiono, ma vengono assorbite in toolkit più ampi, veicolati tramite nuovi canali e supportati dall’uso dell’intelligenza artificiale”.
Sul fronte delle previsioni 2026, il settore finanziario si prepara a un’ulteriore evoluzione delle stesse dinamiche. I trojan bancari verranno riscritti per la distribuzione via WhatsApp, i deepfake e i servizi AI per il social engineering diventeranno più accessibili e credibili, mentre emergerà il fenomeno di infostealer regionali progettati per aggirare i meccanismi di cooperazione internazionale delle forze dell’ordine. “La frode classica non scomparirà, ma adotterà nuove modalità di distribuzione”, aggiunge Shabab, richiamando anche il fenomeno di dispositivi “out of the box” già infetti.
Nel mondo industriale, l’analisi sugli Industrial Control Systems racconta una storia solo apparentemente più rassicurante. Nel 2025 circa un quinto dei sistemi Ics monitorati ha subito tentativi di attacco, con una percentuale in lieve ma costante diminuzione nel corso dell’anno. Secondo Shabab, questo calo è il “risultato di una maggiore maturità delle misure difensive e di una migliore formazione del personale, pur senza eliminare i rischi”. Le differenze regionali restano marcate, con Africa e Sud-Est asiatico con un’esposizione in crescita rispetto a Europa e Nord America, mentre a livello settoriale biometria, building automation ed energy continuano a rappresentare superfici di attacco privilegiate. Entriamo solo un poco di più nei dettagli.
I trend industriali del 2025 ricalcano quelli osservati nel finance, a partire dallo sfruttamento della supply chain e delle relazioni di fiducia, fino agli attacchi contro apparati OT esposti a Internet e all’uso dell’AI nelle fasi di ricognizione e intrusione. I casi analizzati, da SalmonSlalom, all’azione del gruppo Lazarus, fino alla backdoor PipeMagic, mostrano campagne sempre più mirate e persistenti. Guardando al 2026, l’analisi di Shabab vede un aumento degli incidenti capaci di interrompere logistica ed energia, un ampliamento degli obiettivi verso trasporti intelligenti, smart building e satelliti e lo spostamento geografico già considerato; ma soprattutto “vedremo più attacchi con forti caratteristiche regionali e un coinvolgimento ancora maggiore dell’intelligenza artificiale nelle operazioni malevole”, precisa Shabab, delineando uno scenario in cui “l’asimmetria tra difesa e attacco rischia di ampliarsi ulteriormente”.
Come si sviluppano gli attacchi, l’ecosistema cybercrime
Il quadro delineato nelle prime due parti dell’analisi – la crescita quantitativa e qualitativa delle minacce e la loro declinazione settoriale in ambito finanziario e industriale – trova una sintesi operativa nell’intervento di Fabio Sammartino, che sposta l’attenzione dal “quanto” al “come”: “Dietro il dato simbolo del 2025, con circa 500mila nuovi file malevoli rilevati ogni giorno, si nasconde infatti un cambiamento profondo nelle dinamiche del cybercrime, che rende sempre meno efficace un approccio difensivo basato esclusivamente sul rilevamento reattivo”.
Osservando i numeri europei del Kaspersky Security Bulletin, Sammartino evidenzia come la crescita più significativa riguardi backdoor, password stealer e spyware, mentre l’aumento degli exploit resta marginale. “Questi numeri non sono casuali, ma raccontano esattamente come operano oggi i criminali informatici”, spiega, sottolineando che “l’obiettivo primario non è più l’exploit tecnico sofisticato, bensì l’accesso iniziale rapido e a basso costo“. In questo senso, il furto di credenziali e l’uso di software legittimo in chiave malevola diventano strumenti centrali per aggirare le difese tradizionali.
Per comprendere questa evoluzione è necessario guardare all’ecosistema del cybercrime come a un “vero e proprio mercato del lavoro”. Un’analisi condotta dal team di Digital Footprint Intelligence di Kaspersky sugli annunci pubblicati nel Dark Web nel corso del 2025 mostra una struttura gerarchica basata su competenze e valore generato.
Sviluppatori e penetration tester risultano i profili più richiesti e meglio retribuiti, a conferma di un modello industrializzato in cui pochi specialisti ad alto livello progettano piattaforme e servizi, mentre la massa degli attacchi viene eseguita in modo altamente automatizzato.
“Non ha più pertanto senso chiedersi quanti siano i cybercriminali, quanto piuttosto chi sono e che ruolo ricoprono”, osserva Sammartino, che evidenzia come molte competenze provengano ormai dal mercato legale, anche a seguito di crisi occupazionali e riorganizzazioni geopolitiche. Questo ecosistema è inoltre caratterizzato da una forte dinamicità. I sistemi di comunicazione tra i gruppi criminali stanno cambiando rapidamente: Telegram, a lungo piattaforma dominante, è sempre più soggetta a controlli, spingendo gli attori verso alternative come Signal o, in molti casi, verso sistemi di messaggistica proprietari. “E le azioni nel mondo reale, come le operazioni di polizia che smantellano gruppi strutturati, hanno effetti immediati su queste dinamiche, causando dispersione delle competenze, riutilizzo di tool e ridefinizione delle alleanze”.
Dal punto di vista operativo, “ciò che cambia radicalmente è la fase di preparazione dell’attacco”. Sammartino descrive una catena ormai consolidata: raccolta massiva di credenziali tramite infostealer, selezione delle più “interessanti”, vendita del primo accesso o prosecuzione dell’attacco fino al furto di dati o alla cifratura ransomware. “Chi attacca sceglie la strada più veloce e la vittima più facile, non necessariamente quella immediatamente più remunerativa”, chiarisce quindi Sammartino, a ribadire come spesso la redditività emerge solo nelle fasi avanzate dell’attacco.
Priorità nella difesa, la threat intelligence
Da qui deriva una priorità chiara per la difesa: proteggere credenziali, vulnerabilità e perimetro. La threat intelligence assume quindi un ruolo centrale, intesa non come semplice elenco di indicatori, ma come raccolta strutturata di informazioni azionabili. L’obiettivo è anticipare la detection, intercettando segnali deboli prima che l’attacco si manifesti pienamente. “Gli allarmi tradizionali arrivano quando qualcosa è già in corso; più si anticipa la detection, minore è l’impatto”, sottolinea quindi Sammartino.
La costruzione della resilienza dipende poi dal livello di maturità dell’organizzazione. Si parte dall’integrazione di Threat Data Feeds nei firewall per identificare rapidamente connessioni malevole, si valutano i servizi di Digital Footprint Intelligence e Brand Monitoring per ridurre la superficie di attacco e monitorare credenziali e reputazione, fino agli strumenti avanzati di Threat Lookup, Threat Analysis e Intelligence Reporting, pensati per Soc strutturati. In questo percorso si inserisce il servizio Mdr, che combina rilevamento, risposta e attività di threat hunting. Conclude Sammartino: “È in questa capacità di leggere il contesto, prima ancora dell’evento, che si gioca la differenza tra semplice difesa e reale resilienza”.
© RIPRODUZIONE RISERVATA
