Le feste sono finite ma sembrerebbe che “la festa” di attacchi informatici non accenni a terminare. L’inizio dell’anno si contraddistingue per la continuità con gli attacchi di fine 2024, un anno che ha fatto rilevare una ulteriore crescita delle attività criminali, sia stampo geopolitico che di attivismo, senza mai dimenticare l’appetto di pura speculazione finanziaria. I report di livello Europeo forniti da ENISA (Agenzia dell’Unione europea per la cibersicurezza) e quelli centrati sull’Italia aiutano a comprendere lo scenario della minaccia, nel lasso temporale che va dal 2023 ad oggi, con indicazioni sui trend per il 2025 e fino al 2030.

Gli attacchi dell’11 e 12 gennaio

Il gruppo filorusso ‘Noname057(16)’ ha riavviato attacchi di Distributed Denial of Service (DDoS) ai siti istituzionali e alle maggiori organizzazioni italiane. Tra i siti attaccati, i ministeri di Esteri, Infrastrutture e Trasporti, Consob, Carabinieri, Marina, Aeronautica ed alcune aziende del trasporto pubblico locale, l’Atac di Roma, l’Amat di Palermo, l’Amt di Genova, senza dimenticare banche come Intesa e Monte dei Paschi, e porti come Taranto e Trieste e l’azienda Vulcanair.

Anche lo scorso 28 dicembre 2024 erano stati attaccati sia il sito web della Farnesina sia i portali dedicati al pubblico degli aeroporti milanesi di Malpensa e Linate. (Fonte Ansa e Adkronos). L’ACN sta collaborando per la risoluzione della criticità, come già in passato in occasione degli attacchi dello scorso 28 dicembre.

Lo scenario del 2024 rispetto al 2023

Purtroppo, l’andamento di continuità degli attacchi da parte di gruppi filorussi non è una sorpresa, poiché il persistere del sostegno convinto e motivato degli stati europei al presidente ucraino Volodymyr Zelensky rispetto all’invasione russa, determina l’insistenza degli attacchi a scopo di danneggiamento e tentata destabilizzazione.

Un’attività di hacktivismo di matrice geopolitica scaturita fin da maggio 2022 sempre mediante attacchi DDoS ai danni di soggetti nazionali ed anche internazionali che sostengono l’Ucraina.

I dati ENISA su UE

Per Europa è l’ENISA che fotografa la capacità della sicurezza informatica e che fornisce raccomandazioni politiche per affrontare le carenze identificate al fine di aumentare il livello di sicurezza informatica in tutta l’Unione.

Dal “2024 Report on the State of the Cybersecurity in the Union” si apprende che l’analisi dello scenario della minaccia (tracciato con maggior dettaglio dall’analisi ENISA Threat Landscape 2024 (ETL), sul range di dati da metà 2023 a metà 2024), fa registrare una notevole escalation degli attacchi alla sicurezza informatica, stabilendo nuovi parametri di riferimento sia nella varietà che nel numero di incidenti, nonché nelle loro conseguenze.

Dal Report su apprende che le categorie di attacchi Denial of Service (DoS/DDoS/RDoS) e ransomware restano le tipologie più frequenti tanto da rappresentare oltre la metà degli eventi osservati sul danneggiamento di dati per violazioni o esfiltrazioni.

Anche l’allarmante aumento di attacchi sofisticati alla supply chain richiede una grande attenzione a causa della loro ampia portata, della difficoltà di rilevamento e del notevole potenziale di indurre effetti catastrofici a cascata.

Le motivazioni degli attacchi sono da ricercare a livello geopolitico/economico in relazione all’aumento delle corrispondenti tensioni fra Stati; per questi motivi il warfare a livello Cyber si intensifica con campagne di spionaggio, sabotaggio e disinformazione che diventano strumenti chiave per le nazioni per manipolare gli eventi e assicurarsi un vantaggio strategico.

Sul fronte della criminalità informatica (Cyber crime), il ransomware rimane tra le minacce più impattanti per gli Stati membri dell’UE, con un passaggio dalla crittografia all’esfiltrazione dei dati e con le piccole e medie imprese che diventano un bersaglio più attraente per i criminali informatici, mentre la doppia tattica di estorsione è diventata la norma per i gruppi di ransomware consolidati.

Sul versante dell’attivismo l’ETL2024 chiarisce come il fenomeno dell’hacktivismo abbia avuto una costante espansione, segnata dall’emergere di numerosi nuovi gruppi. Eventi importanti che si sono verificati a livello nazionale o europeo hanno fornito la motivazione per una maggiore attività di hacktivismo durante il periodo di riferimento (ad esempio, le elezioni europee) ma anche la guerra Russo/Ucraina con effetti osservabili anche oggigiorno.

Ai numeri e casi già citati possono essere aggiunti i dati sui 63 attacchi del 2023 nell’ambito dei servizi fiduciari, raccolti nel Report ENISA “Trust Services Security Incidents 2023” secondo cui gli incidenti segnalati sono aumentati dell’80% (63 incidenti, rispetto ai 35 del 2022) e l’impatto complessivo degli incidenti è stato pari a 3.184 milioni di ore utente perse, rispetto ai 405 milioni del 2022. Di queste ore, 3.140 milioni sono state perse a causa di azioni dolose, pari al 98% del totale. Il restante numero di ore si divide fra cause di guasti al sistema ed errori umani.

I dati da ACN sull’Italia

Dalla Relazione annuale al parlamento presentata ad Aprile 2024 si apprende che il CSIRT Italia ha registrato un considerevole aumento della minaccia cyber nel 2023, con un totale di 1.411 eventi cyber, per una media di circa 117 al mese, con un picco di 169 a ottobre.

Di questi, 303 sono stati classificati come incidenti, per una media di circa 25 al mese. DDOS, Ransomware e campagne di malware a mezzo mail di phishing sono le tipologie maggiormente frequenti, a conferma dei dati ENISA riscontrati nel territorio UE.

Dati dal report della Polizia postale sull’Italia

Sul fronte del Cybercrime è l’operato della polizia postale che, con il suo report annuale 2024, fa emergere la valutazione sulle attività criminali svolte dai singoli centri specialistici: Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), Centro Nazionale per il Contrasto alla Pedopornografia Online (CNCPO), Commissariato di PS online per il supporto ai cittadini in rete.

Quest’ultima entità accessibile dal sito Web ha ricevuto quest’anno circa 3.000.000 di visite, 82.000 segnalazioni e 23.000 richieste di assistenza, riguardanti fenomeni come truffe online, spoofing, smishing ed estorsioni a sfondo sessuale.

Il CNPO ha potenziato il monitoraggio dei siti web che diffondono materiale CSAM (child sexual abuse material) ed ha permesso di eseguire azioni di ‘Black List’ grazie alla raccolta di tutte le segnalazioni ricevute.

In particolare, dalla sorveglianza di 42.031 siti web (aumentati dai 28625 del 2023, pari a +47%) sono stati fatti 2.775 inserimenti in black list. Per gli arresti si è passati dai 108 nel 2023, a 144 nel 2024, con un aumento percentuale del 33% ad evidenza di un rafforzamento del contrasto diretto e una maggiore capacità di tradurre le attività investigative in misure di repressione efficaci. Il CNAIPIC

Nel report sono inoltre tracciate le attività di contrasto al Cyber terrorismo con monitoraggi che hanno consentito di oscurare 2000 contenuti critici in collaborazione con Europol e sono tracciati i fenomeni di crimine finanziario online che lo stesso Ivano Gabrielli, dirigente superiore della Polizia di Stato, Direttore del Servizio Polizia Postale e per la Sicurezza Cibernetica, definisce come “la più significativa area di azione di organizzazioni complesse, internazionalmente distribuite, con un aumento delle transazioni online, frodi informatiche e furto di dati sensibili bancari, diventato minaccia quotidiana”.

Ivano Gabrielli spiega che alle strutture specialistiche si aggiunge anche “l’avvio del Comitato di Analisi per la Sicurezza Cibernetica (CASC), un tavolo interistituzionale voluto dal Ministro dell’Interno, al quale periodicamente tutte le componenti delle Forze dell’Ordine, e con la partecipazione della Difesa, del comparto intelligence e di ACN. Tale struttura di cooperazione interistituzionale ha a disposizione la rete dei 18 Centri Operativi per la Sicurezza Cibernetica (COSC) della Polizia Postale, attivi nei principali capoluoghi di regione e delle 82 Sezioni Operative per la Sicurezza Cibernetica, presenti nelle province, al cui vertice è posto il rinnovato Servizio Polizia Postale e per la sicurezza cibernetica, oggi al centro della Direzione centrale per la polizia scientifica e la sicurezza cibernetica del Dipartimento della PS, dedicata all’alta investigazione tecnologica ed alle scienze forensi”.

Il prof. Alessandro Curioni nel commentare il report 2024 della polizia di Stato ha osservato sui social come “Il dato più preoccupante e meno trasparente è quello relativo agli attacchi di tipo ransomware ai danni delle PMI (+50%) perché le piccole e medie aziende italiane hanno una bassa propensione alla denuncia e i cyber criminali se ne sono resi conto”.

Outlook 2025 e fino al 2030

Dati ENISA

Sul fronte delle minacce emergenti ENISA ha da tempo creato e implementato un framework di analisi in uso dal 2021 e che è alla base di una pubblicazione periodica specifica. L’ultima in ordine di tempo che spinge l’analisi fino ai trend del 20230 è l’ “ENISA Foresight Cybersecurity Threats for 2030”. Lo studio mira a identificare e raccogliere informazioni sulle future minacce alla sicurezza informatica che potrebbero incidere sulle infrastrutture e sui servizi dell’Unione e sulla sua capacità di mantenere al sicuro la società e i cittadini europei.

Il risultato generato è l’identificazione di 21 minacce alla sicurezza informatica che potrebbero emergere o essere esacerbate entro il 2030. Ogni trend di minaccia è stato analizzato nel report in relazione ad alcuni scenari di accadimento. La top ten è stata identificata nelle seguenti:

1 – Compromissione della catena di fornitura delle dipendenze software

2 – Campagne di disinformazione avanzata / operazioni di influenza (io)

3 – Aumento dell’autoritarismo di sorveglianza digitale/perdita di privacy

4 – Errore umano e sistemi legacy sfruttati all’interno di ecosistemi fisici-ciber

5 – Attacchi mirati (ad es. ransomware) potenziati da dati di dispositivi intelligenti

6 – Mancanza di analisi e controllo di infrastrutture e oggetti basati sullo spazio

7 – Aumento di minacce ibride avanzate

8 – Carenze di competenze

9 – Fornitori di servizi ict transfrontalieri come unico punto di fallimento

10 – abuso di AI.

Sono stati inoltre identificate minacce aggiuntive che completano la ranking list di undici criticità emergenti (par. 3.11 del Report). Come è facile osservare le minacce non sono necessariamente solo tecnologiche, a sottolineare che è sempre necessario avere una visione più ampia del solo perimetro tecnologico, per comprendere le sfide da affrontare.

Report Privati di readiness

Ulteriori outlook sono forniti da singoli vendor. Per il contesto manufacturing, healthcare e Banking Kyndryl ha diffuso le sue analisi, mentre Trend Micro e Finanza.Tech hanno indicato ambito di sfida da osservare per il 2025.

Sul fronte del manifatturiero il Kyndyl readiness report fa notare come “Molte aziende manifatturiere abbiano promosso una cultura che privilegia il cambiamento incrementale, piuttosto che quello trasformativo” con la conseguenza che “il settore è in ritardo nella modernizzazione” tanto che “solo il 31% dei leader del settore manifatturiero ritiene che la propria infrastruttura IT sia completamente pronta a gestire i rischi futuri, un dato inferiore alla media generale del 39%.

Inoltre, nonostante l’88% dei leader del settore sia convinto che la propria infrastruttura IT sia la migliore, il 55% dei leader intervistati teme che i propri strumenti o processi IT siano prossimi alla fine del ciclo di vita”. Uno stimolo allo svecchiamento e alla chiusura del gap tecnologico arriva dagli obblighi normativi, prima fra tutte la NIS2.

La sanità sempre sotto attacco e a rischi danni ingenti di Privacy, ha raggiunto nel 2023 un valore di 2,2 miliardi di euro (fonte dell’Osservatorio Sanità Digitale della School of Management del Politecnico di Milano) e quindi ingolosirà gli attaccanti ancora per tutto il 2025.

Per tale motivo I CIO del settore sanitario stanno assumendo un ruolo sempre più importante riflettendo una trasformazione essenziale per rispondere ai cambiamenti rapidi del mercato e migliorare l’efficienza operativa. I loro approcci non possono più essere solo tecnologici, ma devono evolvere ad una impostazione strategica per realizzare l’integrazione digitale a 360 gradi, richiesta dalla accelerazione della digitalizzazione del sistema sanitario italiano, finanziato dal PNRR.

Il settore bancario che ha nella DORA (Digital Operational Resilience Act) la sua stella cometa e di indirizzamento strategico alla sicurezza digitale, sembra poter contare su un alto livello di fiducia nella propria infrastruttura IT con il 91% dei leader che ritiene la propria infrastruttura IT come a migliore della categoria, ed un 41% che la considera pronta a gestire i rischi futuri.

Anche qui però preoccupazione per il fine ciclo di vita di alcune tecnologie e gli sforzi di modernizzazione potrebbero far optare per l’adozione di soluzioni cloud e dell’edge computing (i cui investimenti, secondo una stima IDC del marzo 2024, raggiungeranno 232 miliardi di dollari entro la fine di quest’anno e quasi 350 miliardi di dollari nel 2027).

Finanza.tech suggerisce per il 2025 una difesa non limitata “unicamente i sistemi aziendali, le infrastrutture, ma anche le persone, potenziali vittime dell’USO dell’AI generativa sfruttata dai criminali informatici per generare nuove minacce, come phishing personalizzati, ransomware e malware evoluti”.

Dello stesso parere Trend Micro che sottolinea come “nei prossimi mesi i cybercriminali addestreranno le AI con le informazioni trafugate online, per creare copie reali degli utenti e sferrare attacchi sempre più difficili da distinguere e prevenire, dando via al fenomeno dei “gemelli digitali cattivi” con la conseguenza di attacchi sempre più personalizzati e sofisticati”.