Nel 2025 il panorama della sicurezza cibernetica italiana si è fatto più complesso e pericoloso. La Polizia postale ha gestito oltre 51.000 casi di crimini informatici, registrato quasi 9.300 attacchi a infrastrutture critiche e documentato frodi per oltre 269 milioni di euro. Il dato più importante: la minaccia non è più occasionale, ma strutturale e quotidiana.
Se sei un imprenditore, un professionista o semplicemente un cittadino connesso, devi sapere che il rischio non riguarda solo le grandi aziende. Le truffe via email (BEC e CEO fraud), il phishing sofisticato e l’uso del deepfake stanno colpendo anche piccole e medie imprese, con tecniche sempre più credibili grazie all’intelligenza artificiale.
La soluzione non è aspettare l’attacco, ma costruire resilienza: processi chiari, controlli sui pagamenti, autenticazione a più fattori e un piano di risposta rapida. Continua a leggere per scoprire cosa dice il rapporto 2025 della Polizia postale e come proteggere davvero la tua organizzazione.
I numeri del 2025: un quadro allarmante ma gestibile
Il Report annuale 2025 della Polizia postale fotografa uno scenario in cui il crimine informatico si è trasformato da fenomeno marginale a rischio sistemico. Ecco i dati principali:
| Metrica | Valore |
|———|——–|
| Interventi su reati informatici | 51.560 |
| Arresti | 293 |
| Persone denunciate | 7.590 |
| Perquisizioni | 2.157 |
| Attacchi a infrastrutture critiche | 9.250 |
| Alert diramati per prevenzione | 49.000+ |
| Frodi economico-finanziarie | 27.085 procedimenti |
| Somme sottratte | 269 milioni di euro |
Cosa significa questo? Non si tratta di episodi isolati. Siamo di fronte a filiere criminali organizzate, con specializzazioni, strumenti sofisticati e canali di monetizzazione ben strutturati.
Frodi e cybercrime: quando la truffa diventa industriale
Il dato economico è il più immediato: 27.085 procedimenti per cybercrime economico-finanziario e oltre 269 milioni di euro sottratti. Ma dietro questi numeri c’è un cambiamento qualitativo importante.
Le truffe non sono più improvvisate. Seguono modelli ripetibili e sfruttano punti deboli noti:
– Phishing e smishing: campagne di massa mascherate da comunicazioni di ministeri, enti pubblici o banche, progettate per rubare credenziali
– BEC (Business Email Compromise) e CEO fraud: messaggi che sembrano provenienti da dirigenti o amministratori, usati per indurre pagamenti fraudolenti
– Deepfake e AI: contenuti manipolati che rendono le truffe più credibili, riducendo i segnali d’allarme che i dipendenti imparavano a riconoscere
Il ruolo dell’intelligenza artificiale
L’AI ha cambiato il gioco. Prima, un’email di phishing poteva contenere errori di italiano, audio scadente o video incoerente. Oggi il deepfake elimina questi “red flag”. Un video può mostrare un amministratore che ordina un bonifico. Una voce generata artificialmente può sembrare autentica in una chiamata telefonica.
Conseguenza: la difesa non può più poggiare solo sulla vigilanza individuale. Servono procedure forti (callback su contatti verificati, doppia approvazione per i pagamenti) e controlli tecnici (autenticazione multi-fattore, protezioni email avanzate).
Attacchi a infrastrutture critiche: il ruolo del CNAIPIC
Il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (CNAIPIC) ha registrato 9.250 eventi di computer crime nel 2025. Di questi:
– 942 eventi sono stati censiti nel perimetro CNAIPIC
– 535 eventi sono stati presi in trattazione diretta per gravità e complessità
– 810 casi di maggiore impatto sono stati direttamente gestiti
I settori più esposti sono:
- Digitale e telecomunicazioni (37%)
- Settore pubblico e governance (24%)
- Economia e imprese (18%)
Perché importa? Se cade la connettività, se si interrompono servizi pubblici, se si blocca un nodo di filiera, l’effetto domino è immediato e colpisce l’intera economia.
Reati contro la persona: violenza digitale e minori
Un aspetto spesso sottovalutato nei dibattiti sulla sicurezza cibernetica è la dimensione umana: la violenza digitale, lo stalking online, lo sfruttamento sessuale di minori.
Codice rosso: 477 richieste nel 2025
Nel 2025 sono state attivate 477 richieste di Codice Rosso per reati digitali:
– 387 donne (81%)
– 90 uomini (19%)
– 189 attivazioni per stalking online
– 240 richieste per revenge porn
Questi numeri dicono che la violenza digitale non è accessoria: è reale, ha conseguenze psicologiche gravi e richiede interventi rapidi.
Minori: adescamento e sextortion
Sul fronte dei minori, il report rivela una vulnerabilità crescente:
– 428 casi di adescamento online
– Fascia più colpita: 14-16 anni (237 casi, il 55%)
– 220 casi di estorsione sessuale online (sextortion)
– Età più bassa: sono presenti anche 5 casi tra 0-9 anni
Il dato operativo: l’adolescenza è il punto di massima esposizione. La socialità digitale intensa e la minore percezione del rischio rendono i ragazzi vulnerabili. La prevenzione e l’educazione devono arrivare prima del primo incidente, non dopo.
Cosa devono fare le aziende: dalla protezione alla resilienza
Con frodi da centinaia di milioni e migliaia di attacchi, non basta “essere protetti”. Bisogna essere pronti a resistere, reagire e ripartire.
Ecco le misure che fanno davvero la differenza:
Governance e gestione del rischio
– Ruoli chiari e responsabilità sugli asset critici
– KPI monitorati e riportati al management: patching, copertura MFA, tempi di detection/response
– Responsabile della sicurezza con autorità e budget
Identità e accessi
– Autenticazione multi-fattore (MFA) ovunque, non solo su email
– Principio del privilegio minimo: ogni utente ha solo i permessi necessari
– Controllo rigoroso degli account amministrativi
– Revisione periodica degli accessi, almeno trimestrale
Difesa dalle frodi
– Procedure anti-CEO fraud sui pagamenti: callback su contatti verificati, doppia approvazione, gestione rigorosa dei cambi IBAN
– Protezioni email avanzate: SPF, DKIM, DMARC
– Formazione mirata per chi gestisce pagamenti e finanza
Backup e recovery
– Copie isolate e immutabili dei dati critici
– Test reali di ripristino, non solo verifica che il backup esista
– RTO (Recovery Time Objective) e RPO (Recovery Point Objective) realistici e documentati
Monitoraggio e risposta
– Logging centralizzato di tutti gli eventi di sicurezza
– Capability di detection interna o tramite MDR (Managed Detection and Response)
– Playbook documentati per ransomware, BEC e data leak
Sicurezza di filiera
– Requisiti minimi di sicurezza per fornitori e partner
– Controllo degli accessi remoti dei vendor
– Audit periodici, perché l’attacco spesso entra da un anello debole della supply chain
Formazione mirata
– Non “awareness” generica, ma training specifico per ruoli esposti
– Finanza e amministrazione: riconoscimento di BEC e CEO fraud
– HR e customer care: protezione dei dati personali
– Executive assistant: verifiche su richieste di pagamento
Resilienza del sistema Paese: tre leve da accelerare
Il report della Polizia postale suggerisce che la sicurezza cibernetica non è più solo un tema IT, ma una questione di continuità economica, fiducia collettiva e protezione delle persone.
Tre priorità vanno oltre la singola organizzazione:
- Standard minimi scalabili per le PMI: la fragilità diffusa è un moltiplicatore di rischio. Se le piccole aziende sono deboli, tutta la filiera è vulnerabile.
- Supply chain security come requisito contrattuale: non come buona intenzione, ma come obbligo misurabile e verificato.
- Cooperazione a rete pubblico-privato: scambio rapido di indicatori, threat intelligence e lesson learned. La minaccia è replicabile, la difesa deve diventarlo altrettanto.
Technical Deep Dive: analisi tecnica per professionisti della sicurezza
Architettura di risposta del CNAIPIC
Il CNAIPIC opera su tre livelli:
- Prevenzione: monitoraggio OSINT del web, threat intelligence su attacchi emergenti, coordinamento con ISP e provider critici
- Rilevazione: alert su anomalie di traffico, pattern di attacco noti, tentativi di accesso a sistemi critici
- Risposta: incident response coordinata, forensica digitale, raccolta di evidenze per procedimenti penali
Nel 2025 sono stati diramati oltre 49.000 alert, un numero che sottolinea il volume costante di minacce e la necessità di automazione nella detection.
Evoluzione del threat landscape
Gli attacchi hanno subito un’evoluzione qualitativa:
– Ransomware-as-a-Service (RaaS): modello criminale che democratizza l’accesso a strumenti sofisticati
– Living-off-the-land: uso di strumenti legittimi (PowerShell, WMI) per evitare detection basata su firma
– Multi-stage attacks: reconnaissance, lateral movement, privilege escalation, exfiltration
– Supply chain compromise: accesso tramite software fornitori (SolarWinds, 3CX)
Cyberterrorismo e minacce ibride
Nel 2025 il servizio ha rafforzato il monitoraggio OSINT con focus su:
– Relazione tra radicalismo online e azioni digitali
– Minacce ibride legate a tensioni geopolitiche
– Coordinamento con Centri operativi per la sicurezza cibernetica sul territorio
L’attività ha portato a:
– 54 persone indagate
– 227.375 contenuti web monitorati
– 533 contenuti web oscurati
Implicazioni per SOC e team di incident response
Per chi gestisce Security Operations Center:
- SIEM configuration: correlazione su pattern di BEC (invio email anomalo, forwarding rules, cambio password), ransomware (file encryption, lateral movement), data exfiltration
- Threat hunting: ricerca proattiva di IOC (Indicators of Compromise) legati a campagne note, credential stuffing, C2 communication
- Forensica: preservazione di log, analisi di timeline, ricostruzione di kill chain per supportare procedimenti penali
- Playbook: escalation chiara, comunicazione con stakeholder, public disclosure timing
Standard e compliance
I dati del report confermano l’importanza di:
– NIS2 Directive: implementazione di misure minime per operatori di servizi essenziali
– GDPR: data breach notification entro 72 ore, privacy by design
– ISO 27001: governance della sicurezza, asset management, incident management
– NIST Cybersecurity Framework: identify, protect, detect, respond, recover
Ma il report suggerisce anche che la compliance normativa non è sufficiente: serve una cultura di resilienza che va oltre il checkmark delle policy.
