L’Italia si conferma un obiettivo di primo piano nel panorama delle minacce informatiche europee, secondo le analisi che coprono il periodo da luglio 2024 a giugno 2025. I dati evidenziano come il Paese sia intensamente preso di mira da una combinazione di attori cybercriminali, gruppi allineati a stati e hacktivisti, con impatti significativi in settori chiave come la Pubblica Amministrazione, i Trasporti e il Manifatturiero.

Leggi qui il rapporto.

1. Il Cybercrime: Ransomware e Infostealer in Primo Piano

Il cybercrime rimane una minaccia prevalente per l’Unione Europea, e l’Italia non fa eccezione. Tra i Paesi membri dell’UE, l’Italia si colloca tra i primi cinque per numero di richieste di riscatto e data breach, rappresentando l’11,33% delle rivendicazioni registrate.

Focus sul Ransomware: Il panorama del ransomware in Italia è caratterizzato dall’attività di diverse varianti emergenti:

• In Italia è stata osservata un’attività crescente da parte dei ceppi ransomware Akira, Sarcoma e Qilin.
• Questi attacchi mirano in particolare al settore manifatturiero, seguito dalle infrastrutture e servizi digitali (DIS). Il manifatturiero è, infatti, il settore più bersagliato dai ransomware in tutti i cinque Stati membri più colpiti.
• C’è stato un calo nelle attività del gruppo BlackBasta nei confronti delle organizzazioni italiane (tra le altre EU MS).

La Catena di Attacco degli Infostealer: Gli infostealer (malware ruba-informazioni) continuano a essere un anello cruciale nella catena di fornitura del cybercrime. Tra settembre 2024 e marzo 2025, si sono registrate ondate di infezioni Lumma in Italia. Lumma Stealer e la tecnica Clickfix sono stati osservati insieme in un’accoppiata dannosa che ha abusato di un dominio italiano.

2. L’Impatto degli Hacktivist e il Targeting OT

L’hacktivism, sebbene spesso caratterizzato da attacchi a basso impatto e bassa sofisticazione, domina il volume complessivo degli incidenti riportati, e l’Italia è un obiettivo primario.

Pubblica Amministrazione e Trasporti: L’Italia è il secondo Paese più colpito per numero di incidenti che hanno interessato la Pubblica Amministrazione, con il 26,3% degli eventi registrati (secondo solo alla Francia).

In questo contesto, i gruppi hacktivist che hanno preso di mira l’Italia operano spesso sotto il banner #OPItaly. I gruppi più attivi includono:

• NoName057(16), che ha mantenuto il più alto ritmo operativo.
• Dark Storm Team, DXPLOIT, Mr Hamza e Alixsec.

Un esempio notevole si è verificato nel dicembre 2024, quando i portali degli aeroporti di Malpensa e Linate sono risultati brevemente irraggiungibili a causa di attacchi rivendicati da NoName057(16). Questi attacchi erano probabilmente correlati al decreto governativo italiano che autorizzava il trasferimento di materiali e attrezzature all’Ucraina.

La Criticità del Settore Trasporti: Oltre agli aeroporti, il settore dei trasporti ha subito interruzioni a causa di attacchi alla catena di fornitura. A marzo 2025, Plus Service, un fornitore esterno che gestisce la piattaforma Telemaco per diverse compagnie di trasporto italiane, è stato colpito da un data breach. Questo incidente ha causato la paralisi dei sistemi di biglietteria della Mobilita di Marca (MoM) per due giorni, con un impatto su migliaia di pendolari, e ha colpito anche l’app e il portale abbonamenti di Busitalia Veneto.

L’Italia, un bersaglio OT Privilegiato: Un elemento di particolare preoccupazione è il targeting dei sistemi di Tecnologia Operativa (OT): l’Italia è il Paese membro dell’UE più frequentemente preso di mira da attacchi OT condotti da hacktivist.

• Il gruppo Z-PENTEST-ALLIANCE ha intensificato le sue attività dall’ultimo trimestre del 2024, rivendicando attacchi contro interfacce di gestione OT accessibili via Internet nei settori dell’energia e della gestione idrica, anche in Italia.
• Inoltre, il 30 giugno 2025, l’Infrastructure Destruction Squad (IDS), un gruppo emergente, avrebbe compromesso una società italiana di automazione di edifici intelligenti.

Settore Finanziario: Anche il settore finanziario in Italia è stato un obiettivo degli hacktivist (insieme a Spagna e Francia), in particolare i portali delle banche rivolti al pubblico.

3. Spionaggio e Attori Allineati a Stati

L’Italia è stata anche al centro delle attività di gruppi di intrusione allineati a stati (state-nexus intrusion sets).

• I gruppi di intrusione del nexus DPRK (Corea del Nord), tra cui Famous Chollima, Lazarus e Kimsuky, sono stati osservati attivi in Italia, oltre che in Belgio, Germania e Francia. Le attività nordcoreane sono spesso orientate verso aziende private, con un focus sui servizi finanziari (incluse le criptovalute), l’IT e la difesa.
• Inoltre, l’Italia è stata colpita dal dispiegamento del Rafel RAT (Remote Access Trojan) nel terzo trimestre del 2024, un malware utilizzato per scopi finanziari e di cyberespionaggio. Anche il trojan bancario Medusa ha espanso la sua vittimologia verso l’Italia e la Francia.

Conclusione: La Necessità di una Difesa Sistemica

Il panorama delle minacce per l’Italia è vario e complesso, con il cybercrime che ne determina l’impatto economico immediato e l’hacktivism e lo spionaggio che erodono la resilienza sistemica, in particolare nel settore OT.

L’adozione di una strategia difensiva basata sull’intelligence è cruciale, dando priorità alla gestione automatizzata delle vulnerabilità, al rafforzamento del sistema (come l’Execution Prevention M1038), e alla resilienza operativa. Il continuo targeting di infrastrutture e fornitori di servizi digitali in Italia, come dimostrato dagli incidenti nel settore dei trasporti, sottolinea la necessità per le organizzazioni di implementare misure di cyber-igiene di base per mitigare l’esposizione alle tecniche più comuni come il phishing e lo sfruttamento delle vulnerabilità.