Tendenze degli incidenti informatici nel 2025: Cosa devono sapere le aziende

Il panorama della cybersecurity continua a evolversi a un ritmo allarmante, mentre gli attori malintenzionati sfruttano tecniche sempre più sofisticate per distruggere le organizzazioni di tutti i settori. Dalle intrusioni alimentate dall'intelligenza artificiale alle campagne intensificate degli Stati nazionali, le aziende devono affrontare sfide senza precedenti per proteggere i propri asset digitali e mantenere la resilienza operativa. Comprendere queste minacce emergenti e implementare solide strategie difensive è diventato fondamentale per la sopravvivenza delle organizzazioni nell'attuale ecosistema digitale interconnesso.

L'intelligenza artificiale trasforma i metodi di attacco informatico

L'intelligenza artificiale ha cambiato radicalmente il modo in cui gli attori delle minacce conducono le operazioni informatiche. Dati recenti rivelano che circa il sedici per cento degli incidenti informatici segnalati coinvolge ora gli aggressori che utilizzano strumenti di IA, in particolare modelli di generazione di immagini e linguaggi, per eseguire sofisticate campagne di social engineering. L'IA generativa ha aumentato notevolmente l'efficacia degli attacchi creando inganni più convincenti e consentendo un'automazione diffusa degli strumenti di intrusione.

Gli attori delle minacce utilizzano la tecnologia AI in diversi modi pericolosi. La tecnologia Deepfake consente ai criminali di creare imitazioni audio e video realistiche di dirigenti e personale di supporto, che utilizzano per autorizzare bonifici fraudolenti, rubare le credenziali degli utenti e compromettere i conti. Un incidente particolarmente devastante ha visto gli aggressori utilizzare filmati disponibili pubblicamente per creare video deepfake convincenti del direttore finanziario e dei dipendenti di un'azienda, ingannando con successo una vittima che ha trasferito oltre venticinque milioni di dollari ai criminali.

Il phishing vocale, o "vishing", rappresenta un altro vettore di minaccia potenziato dall'intelligenza artificiale. Gli aggressori sfruttano script generati dall'intelligenza artificiale e cloni vocali in campagne telefoniche mirate, progettate per convincere le vittime a scaricare payload dannosi, a stabilire sessioni di assistenza remota o a rivelare le proprie credenziali di accesso. Inoltre, gli attori delle minacce utilizzano strumenti di intelligenza artificiale generativa per produrre e-mail di phishing e messaggi di testo altamente personalizzati che includono dettagli contestuali e modelli di linguaggio naturale, aumentando significativamente la probabilità che le vittime clicchino su link dannosi e cedano le proprie credenziali.

Gli attacchi ransomware diventano sempre più aggressivi e costosi

Il ransomware continua ad affliggere le organizzazioni in tutti i settori industriali, con rapporti recenti che mostrano un aumento del dodici per cento rispetto all'anno precedente delle violazioni legate al ransomware. Gli aggressori hanno adottato tecniche di estorsione sempre più aggressive e utilizzato strumenti più sofisticati per massimizzare la pressione sulle vittime. Le moderne campagne di ransomware combinano la tradizionale crittografia dei dati con tattiche di disturbo, tra cui molestie ai dipendenti e minacce alle operazioni critiche, con conseguente prolungamento dei tempi di inattività e costi di recupero notevolmente più elevati.

Diversi gruppi di ransomware di rilievo hanno dominato le cronache recenti. Il gruppo di minacce Scattered Spider è riemerso impiegando tecniche avanzate di social engineering per ottenere l'accesso iniziale alle organizzazioni di diversi settori. Nel frattempo, l'operazione ransomware LockBit è riemersa all'inizio del 2025 con il suo toolkit aggiornato, LockBit 4.0, lanciando campagne di estorsione aggressive che hanno preso di mira in particolare il settore privato negli Stati Uniti.

È interessante notare che le risposte delle organizzazioni agli attacchi ransomware sembrano cambiare. Una recente ricerca di settore indica che circa il 63% delle organizzazioni intervistate ha rifiutato di pagare un riscatto nell'ultimo anno, con un aumento rispetto al 59% del 2024. Questa tendenza suggerisce una crescente resistenza alle richieste di estorsione da parte dei criminali, ma evidenzia anche la necessità di solide capacità di backup e ripristino che consentano alle organizzazioni di ripristinare le operazioni senza cedere agli aggressori.

Le minacce degli Stati-nazione si intensificano in mezzo alle tensioni geopolitiche

Gli attori delle minacce nazionali hanno intensificato notevolmente le loro operazioni informatiche, prendendo di mira le infrastrutture di telecomunicazione, i sistemi critici e i fornitori di servizi strategici di terze parti. Queste campagne sofisticate utilizzano comunemente tecniche di spionaggio informatico e tattiche di inganno avanzate per rubare le credenziali degli utenti e ottenere l'accesso non autorizzato a reti e dati sensibili.

Nell'ultimo anno, i gruppi di attori delle minacce con base in Cina hanno intensificato notevolmente le loro attività e alcuni settori presi di mira hanno registrato un'impennata del duecento-trecento per cento degli attacchi rispetto all'anno precedente. Due campagne di intrusione di alto profilo hanno catturato l'attenzione mondiale: Salt Typhoon e Volt Typhoon. L'operazione Salt Typhoon si è infiltrata con successo nelle principali reti di telecomunicazione in una campagna di spionaggio informatico di vasta portata, mentre Volt Typhoon ha comportato il preposizionamento di codice maligno all'interno di sistemi di infrastrutture critiche, sollevando serie preoccupazioni circa la potenziale escalation in danni fisici o interruzioni diffuse.

Gli attori affiliati agli Stati nazionali hanno anche sfruttato tattiche di ingegneria sociale oltre alle intrusioni tecniche. Gli attori delle minacce affiliati alla Corea del Nord si sono infiltrati in aziende statunitensi falsificando la documentazione e creando profili convincenti di candidati per assicurarsi un impiego in ruoli di supporto informatico, posizioni che hanno poi sfruttato per raccogliere le credenziali degli utenti ed eseguire transazioni finanziarie fraudolente. Gli attori legati all'Iran hanno adottato in particolare strumenti di IA generativa: un gruppo avrebbe amplificato le informazioni trapelate attraverso chatbot di IA in seguito a una campagna di hacking e leaking che ha preso di mira i dati sensibili dei giornalisti nel luglio 2025.

Gli attacchi alla catena di approvvigionamento di terze parti presentano rischi crescenti

Gli attacchi di terze parti si verificano quando gli attori delle minacce compromettono i partner della catena di fornitura, i fornitori o i fornitori di software e sfruttano questo accesso per infiltrarsi nelle reti delle organizzazioni bersaglio. Questi attacchi spesso si propagano a cascata attraverso sistemi interconnessi, colpendo più entità a valle e clienti che dipendono dal software o dai servizi compromessi. Recenti dati di intelligence sulle minacce evidenziano un aumento della criminalità informatica a sfondo finanziario che prende di mira i fornitori di software come punto di ingresso iniziale in ecosistemi aziendali più ampi.

Violando i fornitori di terze parti, gli aggressori possono aggirare le difese perimetrali tradizionali e ottenere un accesso privilegiato agli ambienti aziendali sensibili. Queste minacce sfruttano spesso gli ambienti ospitati, come le piattaforme cloud e gli ecosistemi software-as-a-service, muovendosi lateralmente tra le istanze dei clienti, raccogliendo le credenziali ed esfiltrare i dati proprietari su scala. Questa tattica consente un impatto diffuso, in particolare quando i fornitori servono più clienti in diversi settori.

Le compromissioni della catena di fornitura di terze parti sono diventate uno dei vettori di minacce informatiche più costosi e persistenti che le organizzazioni devono affrontare oggi. Dati recenti indicano che queste violazioni hanno un costo medio di quasi cinque milioni di dollari e richiedono tempi più lunghi per essere identificate e contenute rispetto a qualsiasi altra forma di intrusione informatica. La complessità dei rapporti con i fornitori e i tempi di permanenza prolungati contribuiscono a ritardare gli sforzi di risposta e ad aumentare l'esposizione delle organizzazioni colpite.

Raccomandazioni essenziali per la resilienza informatica

Il mantenimento di un programma di cybersecurity completo e basato sul rischio rimane la difesa più efficace contro le minacce informatiche in evoluzione. Le organizzazioni dovrebbero dare la priorità alla preparazione alla risposta agli incidenti, conducendo esercitazioni tabletop che coinvolgano i dirigenti chiave, i rappresentanti del consiglio di amministrazione e i responsabili dei dipartimenti per convalidare i ruoli, le procedure di escalation e i quadri decisionali. Queste esercitazioni dovrebbero incorporare le minacce emergenti, come l'uso maligno dell'IA generativa, per garantire che i team siano preparati a scenari realistici.

La gestione delle politiche richiede un'attenzione costante. Le organizzazioni devono rivedere e aggiornare regolarmente i piani di risposta agli incidenti, le procedure di continuità operativa e i processi di approvazione delle comunicazioni per garantire che riflettano le minacce attuali e siano conformi ai requisiti di notifica rapida, come l'obbligo di notifica iniziale di ventiquattro ore previsto dalla direttiva NIS2 dell'Unione europea e la regola di divulgazione di quattro giorni lavorativi prevista dalla SEC per gli incidenti rilevanti. Le politiche aggiornate devono essere diffuse agli stakeholder appropriati e devono tenere conto della tolleranza al rischio per le tecnologie emergenti come l'IA generativa.

La mitigazione dei rischi di terzi richiede una solida due diligence dei fornitori e salvaguardie contrattuali. Le organizzazioni devono eseguire analisi di criticità per identificare i fornitori e i componenti la cui compromissione causerebbe il maggiore impatto operativo. Le principali misure di protezione includono la richiesta di attestazioni da parte dei fornitori di pratiche di sviluppo del software sicure, l'implementazione di forti protezioni contrattuali con requisiti di notifica immediata degli incidenti e diritti di audit, la conduzione di valutazioni periodiche delle pratiche di sicurezza dei fornitori e la verifica degli sforzi di risposta attraverso esercitazioni tabletop che coinvolgono scenari di fornitori terzi.

I processi di gestione delle vulnerabilità devono essere tempestivi e sistematici, data la frequenza delle patch di sicurezza e degli sviluppi degli exploit. Le organizzazioni devono mantenere processi documentati per identificare, valutare, dare priorità, rimediare e tenere traccia delle vulnerabilità, assegnando una chiara responsabilità e scadenze per le attività di rimedio. L'implementazione di strumenti di monitoraggio continuo e di gestione proattiva delle patch che producono registri verificabili consente alle organizzazioni di affrontare le vulnerabilità prima che gli attori delle minacce possano sfruttarle.

Infine, impegnarsi con i gruppi di settore e rimanere informati sugli aggiornamenti normativi e di legge rafforza la postura di sicurezza dell'organizzazione. Nonostante la recente incertezza giuridica sulla condivisione delle informazioni di cybersecurity in seguito alla scadenza di alcune disposizioni di legge, la condivisione tempestiva e coordinata delle informazioni rimane fondamentale. Le organizzazioni dovrebbero unirsi a gruppi di cybersecurity specifici del settore per rimanere informati sulle minacce e sulle best practice del settore, monitorando gli aggiornamenti delle agenzie governative e abbonandosi ai bollettini di intelligence sulle minacce delle forze dell'ordine.

Anche se eliminare del tutto il rischio informatico rimane impossibile, dare priorità alla preparazione alla risposta agli incidenti e alla conformità alle normative costruisce la resilienza tecnica e posiziona le organizzazioni in modo più favorevole sia dal punto di vista operativo che legale quando inevitabilmente diventano bersaglio di attacchi informatici.

Fonte: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know