Il nuovo paradigma digitale

Sicurezza informatica

Euro-economie sotto attacco: Italia terza per cyber ricatti

Nel 2025 anche Regno Unito, Germania, Francia e Spagna tra i target. Aziende del Vecchio continente pari al 22% delle vittime globali

di Ivan Cimmarusti

11 novembre 2025

4' di lettura

English Version

4' di lettura

English Version

Ventiquattr’ore e un’azienda passa da operativa a sequestrata. In un caso, sono bastati 51 secondi. L’esito non cambia: violazione dei sistemi, cifratura del database, linee ferme. Poi il cyber-ricatto: «Paga e riavrai i dati». In Italia – tra un tessuto economico fragile e difese digitali piene di falle – il conto arriva in fretta: molte Pmi abbassano le serrande e mandano i lavoratori in cassa integrazione. Il danno raddoppia: sociale, per le famiglie dei dipendenti; economico, per l’ennesima realtà produttiva che si spegne.

Il nome lo conosciamo dalle cronache: ransomware. L’impatto, però, resta nebuloso. Un numero lo mette a fuoco: in Europa, in quest’anno, è già cresciuto del 48% rispetto al 2024. Colpisce soprattutto i Paesi economicamente più appetibili: Regno Unito e Germania, con l’Italia terza seguita da Francia e Spagna. Qui l’operazione standard è ripetitiva e spietata: nel 92% dei casi l’incursione combina cifratura dei file ed esfiltrazione dei dati. I bersagli non cambiano: manifatturiero, servizi professionali e tecnologici, industria. Con sfumature locali. In Italia, i più colpiti sono manifatturiero, vendita al dettaglio, mondo universitario e industria.

Così il report European Threat Landscape 2025 di CrowdStrike, società Usa di cybersicurezza, che è stato presentato ieri.

L’andamento in Ue

Tra gennaio 2024 e settembre 2025 l’Europa ha registrato un’impennata di attacchi condotti da 53 gruppi di eCrime: «Il continente è secondo per numero di incursioni, subito dopo il Nord America, e le aziende europee rappresentano quasi il 22% delle vittime globali», spiega Luca Nilo Livrieri, Senior director, sales engineering southern Europe di CrowdStrike. A fare da vetrina ci sono i Dls (Data leak site), le bacheche del dark web dove sfilano nomi di imprese colpite, richieste di riscatto, countdown e campioni dei dati rubati per alzare la pressione. Il termometro è in salita: le segnalazioni su Dls di entità con sede in Europa crescono di quasi il 13% anno su anno, da circa 1.220 a 1.380 nel 2025.

Perché questa centralità? Non solo per il peso economico dei Paesi europei, come spiega Livrieri. C’è addirittura un fattore normativo che gli attaccanti piegano a proprio vantaggio: la rigidità del Gdpr (protezione della privacy) e le sue sanzioni per chi non è compliance. «L’attaccante minaccia di segnalare l’azienda per mancata conformità normativa in caso di data breach, spingendola a pagare il riscatto».

Guerra ibrida e canali Telegram

C’è poi la leva politica: «Alcuni collettivi hanno espresso posizioni e minacciato attività a sfondo politico. Wizard Spider, per esempio, ha sostenuto l’invasione russa dell’Ucraina del 2022». Sul perimetro ancor più ostile si muovono anche attori statali. L’intelligence di CrowdStrike ha individuato azioni dell’Unità 29155, cellula clandestina dei servizi russi addestrata alla guerra ibrida.

Qui si innesta un ulteriore tassello: il reclutamento su canali Telegram di agenti “usa e getta”. Parliamo di manodopera operativa impiegata per azioni ostili di basso profilo, progettate per consumarsi in fretta e lasciare poche tracce. In questo schema, l’utilità dell’“usa e getta” non è un dettaglio ma l’architrave della negazione plausibile. Operazioni condotte da figure sacrificabili consentono ai servizi russi di schermare la paternità.

Attorno a questo nucleo si muove anche una costellazione di altri gruppi riconducibili a Corea del Nord, Iran, Cina, Kazakistan, India e, oggi, anche alla Turchia. Vettori diversi, medesima traiettoria: moltiplicare gli attacchi, frammentare le attribuzioni.

La situazione italiana

E in Italia dov’è il punto debole? A parte le aziende strategiche, che devono sottostare alle regole della Nis 2, ci sono le Pmi. «Sono molto indietro», avverte Livrieri. Il nodo degli attacchi “moderni”, infatti, è che i segnali sono «difficili da intercettare, servono soluzioni capaci di leggere schemi multidominio o cross domain: anomalie minime che, messe insieme, rivelano un attacco in corso».

Tra i vettori emergenti, continua Livrieri, «compaiono i falsi Captcha: interfacce pensate per distinguere umani e bot che, nella pratica, possono innescare il download di file malevoli».

Non solo. C’è anche il vishing, che molto probabilmente diventerà una minaccia significativa nel prossimo futuro anche in Italia. Si tratta, aggiunge Livrieri, di «una tecnica di social engineering in cui un avversario chiama la vittima spacciandosi per un’altra persona per convincerla a fornire credenziali o a compiere un’azione specifica».

La risposta, per chi ha organici snelli, è pragmaticamente industriale: «Per le piccole e medie imprese – conclude Livrieri – è più conveniente esternalizzare i servizi di cybersicurezza. È una competenza verticale difficile da avere». Anche perché i criminali scelgono tempi chirurgici che mal si conciliano con le piccole e medie imprese: «Di solito gli attacchi arrivano di sera, sul finire della settimana o prima di un ponte», per massimizzare il danno. La conseguenza è un’esigenza non negoziabile: sistemi di protezione che funzionino 24x7, 365 giorni all’anno.

Alla fine, resta una scelta concreta, soprattutto per chi regge il Paese con dieci, cinquanta, cento dipendenti: o si continua a sperare nella fortuna – porte virtuali semichiuse, turni scoperti, antivirus datati – oppure si accetta che il rischio è un costo industriale come l’energia o la logistica.

Riproduzione riservata ©

Ivan Cimmarustigiornalista
- Email
Luogo: Roma
Lingue parlate: Italiano, inglese
Argomenti: Sicurezza, giudiziaria, inchieste, giustizia tributaria
Premi: Nel 2011 tra i vincitori del Premio Internazionale Antimafia Livatino-Saetta
Scheda autore
Trust project

Le ultime di

Quanto valgono le promesse mancate di Apple sull’Ai?
di Alessandro Longo
L’addio di Cingolani: «Nato difficile da smantellare, ma l’Europa si rafforzi»
di Celestina Dominelli
Debito globale a 353 trilioni: perché i mercati «ballano» sull’abisso
di Maximilian Cellino

Macro

La Costituzione italiana è pacifista?

Che cosa significa parlare di pace oggi, mentre le armi tornano al centro della politica globale? Con Giulia Bistagnino – professoressa di Filosofia politica alla Statale di Milano – riflettiamo su come...

Ascoltalo ora

Brand connect

I prossimi eventi

Tutti gli eventi

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.