L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato gli eventi di cybersecurity di maggio 2025, ovvero i numeri e gli indicatori derivanti dalle attività operative dell’ACN, necessari per caratterizzare lo stato della minaccia cyber in Italia.
In particolare, il CSIRT Italia, articolazione tecnico-operativa dell’Agenzia, è un hub nazionale delle notifiche obbligatorie e volontarie di incidenti previste dalla L. 30/2024 e dalla Direttiva NIS, e riceve altresì informazioni provenienti da fonti aperte e commerciali, nonché da altre articolazioni omologhe nazionali ed internazionali, che le condividono di iniziativa o in base ad accordi di collaborazione.
Queste informazioni dotano l’Agenzia di un ampio cono di visibilità sullo stato della minaccia cyber a danno del sistema Paese e forniscono un quadro strutturato delle minacce e del livello di esposizione dei soggetti nazionali: tali informazioni vengono studiate e valorizzate dal CSIRT Italia, che le analizza e classifica come eventi cyber.
In sintesi, a maggio 2025 sono stati registrati 201 eventi di cybersecurity, in aumento rispetto ad aprile; il numero di incidenti è invece di poco inferiore alla media dei 6 mesi precedenti:
- i settori con il maggior numero di attacchi registrati sono stati i servizi finanziari, le telecomunicazioni e la vendita al dettaglio
- sono stati rilevati 17 attacchi ransomware, in aumento del 20% rispetto alla media dei 6 mesi precedenti
- si sono ulteriormente attenuate le campagne di hacktivism legate al conflitto russo-ucraino
- si è rilevata una campagna di phishing di oltre 300 messaggi di posta elettronica originati da una casella compromessa di un operatore del settore energetico: i messaggi invitavano i destinatari a inserire le proprie credenziali in un sito web malevolo appositamente predisposto dall’attaccante
- sono state rinvenute numerose credenziali compromesse in vendita (username e password), spesso riconducibili a clienti di istituti bancari e potenzialmente associati all’accesso ai conti corrente, segnalata dal CSIRT ai soggetti istituzionali preposti
- è stata svolta un’importante attività di analisi mirata all’individuazione di dispositivi potenzialmente compromessi, utilizzati come infrastruttura per la distribuzione di ransomware (a seguito dell’Operation Endgame, una vasta operazione internazionale coordinata da Europol ed Eurojust, che ha portato all’arresto di quattro soggetti, oltre al sequestro di più di 100 server e 2.000 domini) che ha consentito di individuare e segnalare 1.977 dispositivi potenzialmente compromessi, esposti su Internet da soggetti italiani
- i vettori di attacco maggiormente rilevati a maggio 2025 sono stati:
- campagne malevole veicolate tramite e-mail
- sfruttamento di vulnerabilità note
- l’utilizzo di credenziali valide precedentemente compromesse
- il CSIRT Italia ha inviato 3.440 comunicazioni dirette, effettuate per segnalare potenziali compromissioni o fattori di rischio ad amministrazioni ed imprese italiane.
