Resoconto di fine anno sul panorama delle minacce: Cosa è successo realmente nel 2025

Il 2025 è stato un anno in cui la narrativa sulla cybersicurezza si è divisa nettamente tra titoli di giornale e realtà.

Mentre le conversazioni del settore si sono riempite di previsioni drammatiche, come i mega-attacchi guidati dall’intelligenza artificiale, il “crollo” del ransomware, la disruption quantistica e la fine del phishing come lo conosciamo, il panorama reale delle minacce si è evoluto in modi meno teatrali ma molto più consequenziali.

Gli aggressori hanno sfruttato le vulnerabilità più velocemente di quanto le organizzazioni potessero fare con le patch. I gruppi di ransomware non sono scomparsi, ma si sono riorganizzati. E l’ingegneria sociale è diventata silenziosamente più adattabile, più consapevole del contesto e molto più efficace di quanto previsto dalla maggior parte dei corsi di sensibilizzazione.

Questo resoconto di fine anno taglia i discorsi e si concentra sull’evidenza: i comportamenti, i modelli di attacco e le tendenze di sfruttamento che hanno realmente caratterizzato il 2025.

Cosa è successo realmente nel 2025

1. Le vulnerabilità sono state sfruttate più velocemente di quanto le organizzazioni potessero rispondere

La velocità di sfruttamento ha subito un’ulteriore accelerazione nel 2025. In molti casi ad alta gravità, il codice proof-of-concept e lo sfruttamento attivo sono apparsi a poche ore dalla divulgazione, non a giorni o settimane.

Tendenze chiave:

• Gli aggressori hanno monitorato sempre più spesso gli advisory dei fornitori e i repository di proof-of-concept per sfruttare le vulnerabilità non appena venivano rilasciate le patch.
• Gli zero-day hanno fatto notizia, ma le “vecchie” vulnerabilità ampiamente conosciute hanno rappresentato una quota significativa delle intrusioni riuscite.
• I servizi remoti (VPN, firewall, hypervisor e identity provider) sono rimasti gli obiettivi più lucrativi grazie al loro accesso diretto alle reti interne.

Per molte organizzazioni non è stata la complessità delle vulnerabilità a causare problemi, ma il divario operativo tra la disponibilità delle patch e la loro applicazione.

Perché è importante: L’idea di “patchare più velocemente” non è praticabile se l’organizzazione non dispone di visibilità, asset intelligence e capacità operativa. Il 2025 ha chiarito che la velocità di sfruttamento supera i cicli di patch tradizionali, costringendo i team a dare priorità alle patch basate sul rischio, al monitoraggio continuo e all’igiene della configurazione.

2. Il ransomware non è diminuito, si è evoluto

Le previsioni di un declino del ransomware non si sono avverate. Al contrario, la minaccia ha cambiato forma.

2025 ha visto:

• Una ripresa degli incidenti ransomware confermati (aumento del ≈34% rispetto all’anno precedente)
• Una svolta verso il furto di dati come meccanismo primario di estorsione
• Campagne in cui la crittografia era facoltativa, o non era stata presa in considerazione.
• Aumento dell’accesso iniziale tramite lo sfruttamento della vulnerabilità combinato con il furto di credenziali

Invece di eventi di crittografia “big bang”, molti incidenti sono iniziati in sordina: gli aggressori hanno raccolto i dati, mappato i sistemi interni e solo successivamente hanno scatenato l’estorsione. Diversi casi di alto profilo hanno dimostrato che, anche quando la crittografia fallisce, la minaccia di divulgazione è sufficiente a forzare le trattative.

Perché è importante: I backup sono ormai solo un livello di difesa. Il rilevamento e la risposta devono coprire l’intero ciclo di vita del ransomware, dall’accesso iniziale al movimento laterale e all’esfiltrazione.

3. L’ingegneria sociale è diventata consapevole del contesto e più difficile da individuare

Il cambiamento più importante nell’ingegneria sociale non è stato il volume, ma l’accuratezza.

Gli aggressori utilizzano sempre più spesso:

• Esche contestuali che imitano i flussi di lavoro interni, le approvazioni, le comunicazioni con i fornitori e gli avvisi di sistema.
• Strumenti assistiti dall’intelligenza artificiale per generare varianti che aggirano il filtro statico delle email
• “Phishing polimorfico” in cui i nomi dei mittenti, i metadati, il branding e lo stile di scrittura cambiano tra un tentativo e l’altro.

In molti casi, gli utenti non cedevano a e-mail palesemente sospette, ma rispondevano a imitazioni quasi perfette di messaggi operativi quotidiani.

L’aumento del lavoro da remoto e l’onnipresenza di software di accesso remoto (VPN, RDP, strumenti di desktop remoto) hanno aggiunto ulteriori punti di pressione. Gli account Bastion e di amministrazione sono stati presi di mira in modo massiccio, spesso utilizzando una combinazione di social engineering e raccolta di credenziali.

Perché è importante: Una formazione di sensibilizzazione basata sui “vecchi” modelli di phishing non è più in linea con la realtà dell’ingegneria sociale adattiva e basata sull’intelligenza artificiale. Una difesa efficace richiede ora una formazione comportamentale che rispecchi i moderni inganni, non gli esempi tradizionali.

4. L’identità è diventata la nuova superficie di attacco principale

Il 2025 ha rafforzato una dura verità: gli aggressori preferiscono sempre di più le intrusioni basate sull’identità rispetto alle compromissioni basate sul malware.

I fattori più comuni delle violazioni:

• Abuso di credenziali
• Spruzzatura di password (un piccolo elenco di password probabili tentate su molti account)
• Furto di token e dirottamento di sessione
• Spunti di stanchezza per l’MFA
• Account iperprivilegiati con permessi ampi o precedenti

La compromissione dell’identità è stata la causa principale di numerosi incidenti avvenuti in organizzazioni del settore manifatturiero, logistico, educativo e pubblico. Una volta entrati, gli aggressori hanno spesso incontrato una segmentazione minima, che ha permesso loro di accedere lateralmente con poco attrito.

Perché è importante: L’identità ha superato gli endpoint come punto di accesso più affidabile. I privilegi minimi, una solida governance degli accessi e l’MFA resistente al phishing sono ormai controlli di sicurezza fondamentali, non miglioramenti opzionali.

5. L’interruzione dell’operatività derivava da vecchi problemi, non da quelli nuovi

I titoli dei giornali si sono concentrati sulle minacce alimentate dall’intelligenza artificiale, ma la maggior parte degli impatti operativi nel 2025 è stata causata da questioni molto più familiari:

• Interfacce di gestione esposte
• Risorse cloud mal configurate
• Sistemi non patchati o a fine vita
• Segmentazione debole tra ambienti critici e non critici
• Singoli punti di fallimento nei servizi di terze parti

Diverse interruzioni di servizio ad alto impatto che hanno dominato il ciclo delle notizie sono riconducibili a lacune igieniche di base, non a minacce avanzate.

Perché è importante: La differenza tra un piccolo incidente e una grave interruzione spesso si riduce ai fondamentali. Il 2025 ha ribadito che gli strumenti avanzati non possono compensare la debolezza delle basi operative.

Le principali vulnerabilità ed esposizioni comuni sfruttate (CVE)

Tra i vari report globali, sono emersi diversi modelli:

1. Gli exploit si sono concentrati soprattutto sui sistemi rivolti al pubblico
   Le appliance VPN, i dispositivi firewall, i gateway di posta elettronica e i provider di identità cloud hanno continuato a essere i bersagli principali.
2. Le vulnerabilità ampiamente conosciute erano ancora tra le più sfruttate
   Le vecchie CVE con patch disponibili sono rimaste prevalenti a causa delle lunghe tempistiche di rimedio, dei sistemi legacy o del rollout incompleto delle patch.
3. Gli aggressori hanno sfruttato le opportunità di concatenazione
   Piuttosto che affidarsi a una singola falla, gli attori delle minacce hanno spesso combinato una vulnerabilità nota di esecuzione di codice remoto, una falla di escalation dei privilegi e una configurazione errata o una credenziale non protetta. Questo approccio a catena ha permesso un rapido movimento laterale dopo l’accesso iniziale.
4. I tempi di armamento si sono accelerati notevolmente
   Diverse vulnerabilità critiche sono state sfruttate attivamente lo stesso giorno in cui sono stati pubblicati gli avvisi del fornitore.

Cosa ci dice questo: La minaccia non riguarda solo le nuove vulnerabilità, ma anche la visibilità, la definizione delle priorità e la velocità. Gli aggressori si concentrano sulla via d’accesso più facile, non su quella più sofisticata.

Tattiche, tecniche e procedure del ransomware

• L’attività dei ransomware è ripresa nel 2025: un’analisi stima un aumento del 34% degli incidenti ransomware confermati rispetto al 2024.
• Molti aggressori ora privilegiano la doppia estorsione: prima esfiltrare i dati, poi crittografarli o minacciare di farli trapelare.
• L’economia del ransomware sta cambiando. Secondo un’indagine globale, il pagamento medio del riscatto nel 2025 è rimasto alto (≈ 1,0 milioni di dollari), ma solo una minoranza di organizzazioni ha pagato.
• Gli attori del ransomware combinano sempre più spesso lo sfruttamento delle vulnerabilità (ad esempio VPN/firewall non patchati) con il furto di credenziali o il phishing/ingegneria sociale per ottenere l’accesso iniziale.

Perché è importante: Il passaggio a una tattica che privilegia l’esfiltrazione e la crittografia come elemento secondario significa che i difensori non possono fare affidamento solo sui backup dei file. Il rilevamento e la prevenzione devono ora coprire l’intero ciclo di vita dell’intrusione, dall’accesso all’esfiltrazione, e tenere il passo con gli attacchi guidati dagli exploit.

Evoluzioni dell’ingegneria sociale: Cosa ha sorpreso (e avuto successo)

• L’ingegneria sociale rimane il motore principale delle campagne ransomware e di violazione nel 2025. In particolare, il phishing come punto di accesso iniziale è aumentato in modo significativo.
• L’ascesa del phishing potenziato dall’intelligenza artificiale: gli aggressori utilizzano spesso strumenti automatizzati o assistiti dall’intelligenza artificiale per creare email di phishing convincenti e altamente personalizzate, in grado di eludere il rilevamento tradizionale.
• Molte email di phishing utilizzano caratteristiche “polimorfiche” che variano i nomi dei mittenti, i metadati, i soggetti e i loghi per eludere i filtri basati sulle firme ed evitare il rilevamento dei modelli.
• Il passaggio al lavoro ibrido, agli ambienti remoti e all’uso diffuso di software di accesso remoto (VPN, RDP, strumenti di remote-desktop) ha ulteriormente aumentato l’efficacia del furto di credenziali e delle tattiche di social-engineering.

Perché è importante: La consapevolezza della sicurezza da sola non è più sufficiente. Poiché gli aggressori utilizzano l’intelligenza artificiale per scalare e personalizzare l’ingegneria sociale, le organizzazioni devono investire in difese stratificate (controlli tecnici + formazione umana + rilevamento delle anomalie), soprattutto per quanto riguarda l’accesso alle e-mail e alle identità.

Dove le previsioni sono state sbagliate e perché

Molte previsioni precedenti ipotizzavano che il ransomware avrebbe continuato a essere dominato da attacchi di crittografia ad alto impatto e che i cicli di patch avrebbero tenuto il passo. Questa visione è stata sottovalutata:

1. L’esplosione del volume delle vulnerabilità e la rapidità delle armi: il 2025 ha visto un numero di divulgazioni di CVE molto superiore a quello previsto da molte previsioni, e gli aggressori ne hanno sfruttate molte nel giro di poche ore.
2. Il passaggio a modelli di business a doppia estorsione e fuga di dati: La crittografia da sola sta perdendo valore quando gli obiettivi hanno dei buoni backup; il furto di dati e l’estorsione offrono una leva maggiore.
3. La potenza dell’ingegneria sociale e dell’intelligenza artificiale: le previsioni che si sono concentrate esclusivamente sulle vulnerabilità tecniche hanno trascurato l’efficacia del phishing e degli attacchi basati sulle credenziali assistiti dall’intelligenza artificiale.

Ciò significa che i difensori e i modelli di rischio che si basavano principalmente sui cicli di patch, sulla resilienza dei backup o sulla mitigazione basata sulla crittografia devono essere rivalutati. La vera minaccia, soprattutto per molte organizzazioni, è ora più ampia: riguarda l’identità, l’accesso iniziale, l’esfiltrazione dei dati e l’ingegneria sociale.

Cosa devono fare le organizzazioni a partire dal 2025 e su cosa devono concentrarsi nel 2026

Le lezioni più importanti del 2025:

• L’identità è la principale superficie di attacco.
• Il patching deve passare da un approccio basato sulle scadenze a uno basato sui rischi.
• La difesa contro i ransomware ora riguarda la protezione dei dati, non solo il recupero della crittografia.
• I modelli di consapevolezza devono rispecchiare le moderne tecniche di inganno.

Scopri come la piattaforma di Human Risk Management di MetaCompliance può aiutare la tua organizzazione a gestire in modo proattivo i rischi informatici guidati dalle persone nel 2026. Dalla riduzione delle minacce di phishing e social engineering al rafforzamento della protezione dell’identità e alla garanzia di conformità, la nostra piattaforma trasforma la consapevolezza in risultati di sicurezza misurabili, rendendo le persone la tua linea di difesa più forte.