Cyberattacchi in aumento: maggio 2025 sotto la lente dell’Agenzia per la Cybersicurezza Nazionale

Maggio 2025 si conferma un mese caldo sul fronte della sicurezza informatica in Italia. È quanto emerge dal report mensile diffuso dall’Agenzia per la Cybersicurezza Nazionale (ACN), che attraverso il CSIRT Italia — il proprio braccio operativo specializzato nella gestione degli incidenti — ha registrato 201 eventi di cybersecurity, segnando un incremento rispetto al mese precedente.

Il CSIRT Italia, snodo nazionale per la ricezione delle notifiche obbligatorie e volontarie di incidenti informatici, raccoglie e analizza quotidianamente informazioni provenienti da fonti istituzionali, commerciali e open source, oltre che da controparti internazionali. Un patrimonio informativo che consente di disegnare una mappa aggiornata e precisa delle minacce cyber che gravano sul Paese.

Settori più colpiti e minacce emergenti
Nel mese di maggio, a finire maggiormente nel mirino degli attaccanti sono stati i servizi finanziari, le telecomunicazioni e il settore della vendita al dettaglio. Un dato che riflette il crescente interesse dei gruppi cybercriminali per ambiti strategici e infrastrutturali, dove il danno economico e reputazionale può essere significativo.

Particolare attenzione è stata riservata all’incremento degli attacchi ransomware, saliti del 20% rispetto alla media semestrale, a conferma di una minaccia ormai strutturale. Parallelamente, si è registrato un ulteriore calo delle campagne di hacktivism legate al conflitto russo-ucraino, che da mesi caratterizzavano parte dello scenario cyber europeo.

Phishing e credenziali compromesse
Tra gli episodi più significativi del mese, spicca una campagna di phishing mirata, partita da una casella e-mail compromessa di un operatore del settore energetico. L’attacco, articolato in oltre 300 messaggi di posta elettronica, aveva l’obiettivo di sottrarre le credenziali dei destinatari attraverso un sito malevolo appositamente predisposto.

Non meno allarmante è la scoperta di numerose credenziali bancarie compromesse, rinvenute in vendita nel dark web. Username e password potenzialmente associati ai conti correnti di cittadini italiani sono stati segnalati dal CSIRT Italia alle autorità competenti per le verifiche e le contromisure del caso.

Operazione Endgame e infrastrutture compromesse
Il mese di maggio ha inoltre visto gli effetti dell’Operation Endgame, un’operazione internazionale coordinata da Europol ed Eurojust che ha smantellato una rete criminale dedita alla diffusione di ransomware. L’iniziativa ha portato all’arresto di quattro persone e al sequestro di oltre 100 server e 2.000 domini usati per attività malevole.

Nel contesto italiano, grazie a questa attività di intelligence, sono stati individuati e segnalati 1.977 dispositivi potenzialmente compromessi, esposti su Internet e sfruttati come nodi per la distribuzione di malware.

Modalità di attacco e risposta istituzionale
Secondo i dati raccolti, i principali vettori di compromissione restano le e-mail malevole, lo sfruttamento di vulnerabilità note nei sistemi e l’utilizzo di credenziali valide precedentemente sottratte. A fronte di queste minacce, il CSIRT Italia ha inviato nel solo mese di maggio 3.440 comunicazioni dirette ad aziende e amministrazioni italiane, segnalando incidenti, vulnerabilità critiche e fattori di rischio.

Un quadro di allerta costante
Il report dell’ACN conferma come lo scenario cyber nazionale resti estremamente dinamico e complesso, con minacce che evolvono in tempi rapidissimi e richiedono un monitoraggio costante, una cooperazione internazionale solida e una sempre maggiore consapevolezza da parte di imprese e cittadini.

---

LEGGI ANCHE