Prosegue anche nel primo semestre del 2025 la crescita degli attacchi cyber, in aumento del 36% a livello globale rispetto al secondo semestre del 2024. Sono infatti 2.775 gli incidenti registrati da Clusit – Associazione Italiana per la Sicurezza Informatica.

Rispetto alla seconda metà del 2024, gli episodi rilevati sono aumentati in modo significativo, passando da una media di 337 a 459 attacchi mensili, oltre 15 al giorno, in media.

Uno scenario che i ricercatori del Clusit definiscono “preoccupante”: il numero degli attacchi registrati nel primo semestre del 2025 – che, ricordiamo, si riferisce ad attacchi andati a buon fine e comunicati ed esclude quindi i tentativi – è infatti il più alto registrato dall’inizio delle rilevazioni.

Più contenuta la crescita in Italia, dove si registra un aumento del 13%. Attacchi che, tuttavia, si confermano elevati rispetto al confronto globale: oltre il 10% di tutti gli incidenti cyber registrati a livello mondiale colpisce infatti il nostro Paese.

Di particolare rilevanza, in questa edizione del rapporto, la crescita dei cyber attack a danno delle imprese della logistica, che si posiziona al secondo posto tra i settori più colpiti a livello mondiale, dopo quello Government & Law enforcement.

Aumentano gli attacchi in Italia, anche se la severità è inferiore rispetto al dato globale

La percentuale di attacchi che colpiscono il nostro Paese evidenzia una incapacità di contenere gli attacchi: nel primo semestre dell’anno, il 10,2% degli incidenti a livello mondiale si è infatti verificato in Italia, contro il 9,9% del 2024, confermando una escalation dal 3,4% del 2021 e dal 7,6% del 2022.

I ricercatori di Clusit hanno inoltre evidenziato che nel 2025 l’Italia – rispetto alla media globale – è stata molto più colpita da incidenti di tipo DDoS realizzati da gruppi di sedicenti attivisti (attacchi di tipo “hacktivism”) che, in realtà, sono molto probabilmente sabotatori coordinati da strutture governative russe.

Questo tipo di attacco, che rappresenta il 54% di tutti gli incidenti cyber registrati nel nostro Paese, ha una visibilità maggiore (perché comporta, appunto, l’interruzione di servizi), ma presenta una severità più ridotta rispetto agli attacchi di tipo malware (20%), che rappresenta invece la prima tecnica di attacco a livello mondiale.

A preoccupare, anche su questo fronte, è l’aumento registrato in soli sei mesi rispetto all’evoluzione dello scorso anno: il dato riferito ai primi sei mesi del 2025 rappresenta infatti più di una volta e mezza il totale degli incidenti del 2024.

Al secondo posto gli attacchi di tipo Cybercrime, causa del 46% del totale degli incidenti. In questa categoria, si è tuttavia verificato un numero superiore di eventi rispetto a quelli rilevati nello stesso periodo dello scorso anno (130 nel primo semestre 2025 vs 89 nel primo semestre 2024).

Le altre tecniche di attacco riguardano lo sfruttamento delle Vulnerabilità (5%) e tecniche di Phishing /Social Engineering (4%).

I settori più colpiti in Italia: gli hacker puntano i riflettori su Logistica e Trasporti

Nel primo semestre di quest’anno i ricercatori di Clusit hanno rilevato un maggior numero di incidenti cyber nell’ambito Governativo / Militare / Forze dell’Ordine italiano, interessato da una quota di eventi pari al 38% del totale, che in valore assoluto si traduce in una quantità di incidenti pari al 279% rispetto all’intero anno precedente. La crescita rispetto allo stesso periodo dello scorso anno è pari a oltre il 600%.

Questo dato può essere almeno in parte spiegato con l’aumento della pressione del fenomeno Hacktivism: gli attacchi di tipo dimostrativo, infatti, sono spesso motivati da finalità politiche o geopolitiche e rivolti a vittime nella sfera delle istituzioni pubbliche e militari, in modo tale da generare grande attenzione da parte dell’opinione pubblica, amplificando la visibilità del messaggio che gli attaccanti vogliono veicolare.

Al secondo posto, gli incidenti in ambito Trasporti /Logistica (17% del totale), che hanno realizzato in sei mesi oltre una volta e mezzo il numero degli incidenti di tutto l’anno precedente e incrementato l’incidenza sul totale del campione, rispetto all’anno precedente, di 10 punti percentuali.

Un aumento riconducibile proprio all’intento degli “hacktivisti” di “fare male”, interrompendo le catene di fornitura di un Paese.

“La crescita degli attacchi nel settore Trasporti e Logistica sembra riconducibile alla volontà degli attaccanti di mettere in crisi interi comparti dipendenti dalle filiere dei fornitori, colpendo più segmenti di mercato contemporaneamente e limitando la capacità di garantire approvvigionamento e distribuzione. Ne sono testimonianza sia l’aumento degli attacchi di matrice attivista tramite tecniche DDOS in questi ambiti, sia le violazioni ai danni di soggetti della supply-chain, che hanno avuto ripercussioni trasversali su numerose organizzazioni del settore”, commenta Luca Bechelli, del Comitato Direttivo Clusit.

Un settore particolarmente colpito, spiegano i ricercatori del Clusit, da attacchi che sfruttano le vulnerabilità. Attacchi che preoccupano a livello mondiale, in quanto si assiste a una crescita di quelli tipo “zero day” dove la tecnica di attacco non è conosciuta e dove, proprio per questo, non vi è alcuna possibilità di difesa per la vittima.

Il settore Manifatturiero, in cui è avvenuto il 13% degli incidenti nel primo semestre dell’anno, ha raccolto in Italia una quota più significativa di incidenti rispetto al resto del mondo – che nella vista globale si ferma all’8% – spiegabile, secondo i ricercatori di Clusit, con la peculiarità del tessuto economico del nostro Paese.

Il Commercio al Dettaglio /Ingrosso ha registrato in Italia una crescita statisticamente rilevante di incidenti, attestandosi nel semestre su un numero di eventi pari al 70% dei 12 mesi precedenti.

A confronto con i dati del 2024, i ricercatori di Clusit segnalano una diminuzione degli incidenti nel settore della Sanità.

Lo scenario mondiale: un quarto degli incidenti avviene a danno di imprese europee

Nel primo semestre 2025, un incidente su quattro è avvenuto in Europa, che ha registrato un calo negli incidenti di 5 punti percentuali rispetto allo scorso anno.

Il continente americano si conferma al primo posto per numero di vittime. L’aumento più marcato è stato invece verso il continente asiatico che è cresciuto di sette punti percentuali, raggiungendo il massimo picco mai registrato in questo territorio. Nel solo primo semestre del 2025 in valore assoluto sono stati registrati più incidenti che in tutto il 2024: 523 eventi, pari ad una crescita del 121%. Una dinamica che, secondo i ricercatori del Clusit, è da attribuire a due fattori: in primo luogo, l’entrata in vigore anche in Asia di normative che impongono alle imprese la comunicazione degli incidenti cyber. A questo si aggiunge la crescente digitalizzazione, che sta interessando sempre più aree della regione.

Sono sostanzialmente stabili, invece, Oceania (3%) e Africa (1%).

L’aumento del Cybercrime traina la crescita degli attacchi globali

Secondo gli autori del Rapporto Clusit, la crescita in volume degli incidenti nel mondo è sostenuta da un aumento del fenomeno Cybercrime: in valore assoluto, con 2401 incidenti, nel primo semestre del 2025 si è verificato il 76% degli eventi registrati nell’anno 2024.

I fenomeni di Espionage/Sabotage e Information Warfare sono invece in calo rispetto al 2024, assestandosi ad una quota di un incidente su 10, a dispetto dell’estensione dei conflitti già attivi nel 2024 e dell’acuirsi delle ulteriori problematiche nel primo semestre dell’anno.

Gli esperti di Clusit hanno evidenziato la complessità della reale attribuzione degli attacchi di Information Warfare; le tensioni in corso si riflettono invece in un aumento sostanziale degli incidenti classificabili come Hacktivism, che nei primi sei mesi del 2025 rappresentano, in valore assoluto, il 59% degli eventi di tutto il 2024.

Il malware predomina sullo scenario globale

Un quarto degli incidenti registrati nel campione di Clusit nel primo semestre 2025 è stato causato da Malware, che si conferma la tecnica più utilizzata dagli attaccanti.

Sebbene questa categoria comprenda molte tipologie di codici malevoli, come illustrato dagli esperti di Clusit, il ransomware è in assoluto quella principale e maggiormente utilizzata grazie anche all’elevata resa economica per gli aggressori.

Gli incidenti basati su vulnerabilità, DDoS e Web Attack, costituiscono la seconda tecnica più utilizzata, ma sono cresciuti tuttavia in numero con maggiore rapidità nel primo semestre di questo anno. Nei primi sei mesi del 2025 sono stati infatti la causa di un numero di eventi pari all’83% dell’intero 2024.

In valore assoluto i DDoS sono cresciuti in modo più rilevante, realizzando in sei mesi l’84% degli incidenti dell’intero 2024.

Il Phishing risulta una tecnica di aggressione stabile rispetto al 2024, confermandosi causa dell’8% degli attacchi nel mondo; è diminuito l’utilizzo di Tecniche Multiple (da 5% a 3%) e Identity Theft / Account Cracking (-3 punti percentuali).

Un’ipotesi plausibile di questo fenomeno, secondo gli autori del Rapporto Clusit, potrebbe essere la contemporanea spinta di norme che richiedono formazione continua per tutti gli operatori, l’adozione di strumenti efficaci di gestione delle identità (Multi Factor Authenticantion in primis e, rispetto a quest’ultima, una maggior presenza di questa caratteristica in servizi enterprise), con una maggiore disponibilità a adottare queste soluzioni da parte di molte organizzazioni, consce di quanto il rischio sia alto, ma mitigabile.

I ricercatori di Clusit hanno inoltre evidenziato che i Web Attack, pur continuando a rappresentare la percentuale minore delle tecniche prese in esame nel campione, nel primo semestre 2025 hanno superato in valore assoluto la somma degli eventi dell’intero 2024.

In crescita, nell’ultimo semestre, anche la gravità degli incidenti: l’impatto medio stimato a livello globale è stato infatti “critico” o “elevato” nell’82% dei casi, contro il 77% del totale nel 2024, dato che nel 2020 si assestava al 50%.