La relazione annuale al Parlamento dell’Agenzia per la Cybersicurezza Nazionale fotografa un boom di attacchi del 40%. Le PMI sono le più esposte
È una guerra silenziosa, combattuta a colpi di dati cifrati e server paralizzati. Nel 2024, l’Italia ha registrato un +40% di attacchi informatici, con gruppi hacker sempre più variegati: dal cybercrime organizzato ad attori legati a interessi geopolitici. La Relazione annuale al Parlamento presentata dall’Agenzia per la Cybersicurezza Nazionale (ACN) fotografa lo stato della sicurezza cibernetica in Italia del 2024. Il documento offre una lettura strutturata dei principali fenomeni osservati, delle vulnerabilità rilevate e delle attività svolte per rafforzare la resilienza digitale del Paese. Fornisce inoltre una panoramica sui progressi nella protezione delle infrastrutture critiche, nell’adozione di misure preventive e nella diffusione di una cultura della sicurezza informatica, anche grazie al lavoro del CSIRT Italia (Computer Security Incident Response Team) e alla cooperazione con attori pubblici e privati.
Accanto ai dati sulle minacce più rilevanti, come gli attacchi DDoS di matrice hacktivista, le campagne ransomware in aumento e le operazioni condotte da APT, emergono anche elementi di consolidamento del sistema Paese in ambito cyber, portati avanti dall’Agenzia stessa. In generale, il quadro che emerge è quello di una crescente esposizione della superficie digitale italiana, in un contesto di digitalizzazione accelerata, carenza di competenze specifiche e presenza di sistemi obsoleti. Serve un rafforzamento strutturale della cultura della cybersicurezza, sia nelle organizzazioni che tra i cittadini, per affrontare in modo efficace una minaccia in continua evoluzione.
L’impennata degli attacchi e delle risposte del 2024
Nel 2024, il panorama della cybersicurezza italiana ha registrato un incremento significativo sia nella quantità che nella gravità delle minacce informatiche. L’Agenzia per la Cybersicurezza Nazionale (ACN), con il suo braccio operativo CSIRT Italia, ha svolto un ruolo cruciale nel monitoraggio, nella prevenzione e nella gestione degli incidenti di tipo cyber. Tra le principali minacce rilevate, si segnalano attacchi DDoS, ransomware, campagne di spear phishing e attività da parte di gruppi APT (Advanced Persistent Threat), che hanno colpito soggetti pubblici e privati.
Particolarmente colpita è risultata la Pubblica Amministrazione, seguita dai settori delle telecomunicazioni, energia e sanità. Un dato allarmante riguarda l’aumento degli eventi cyber (+40% rispetto al 2023) e degli incidenti (+90%), con un numero complessivo di 1.979 eventi gestiti, di cui 573 confermati come incidenti veri e propri. Le vittime univoche sono state 1.260, più che raddoppiate rispetto all’anno precedente. Le aree più colpite si concentrano nel Nord Italia (Milano, Torino) e a Roma, probabilmente a causa della forte presenza di infrastrutture strategiche.
Nuovi obblighi, minacce emergenti e risposta preventiva
A contribuire a questo incremento è stata anche l’entrata in vigore della legge n. 90/2024, che ha esteso gli obblighi di notifica degli incidenti a nuovi soggetti, ampliando la visibilità dell’ACN su un numero maggiore di realtà coinvolte. La posta elettronica si conferma il vettore d’attacco più utilizzato, seguita dallo sfruttamento di vulnerabilità nei sistemi e dall’uso di credenziali compromesse. Questo sottolinea ancora una volta l’importanza del fattore umano nella catena della sicurezza. Rilevanti anche gli attacchi rivendicati dal gruppo hacktivista filorusso NoName057(16), che ha colpito l’Italia in almeno tre campagne distinte (febbraio, maggio e dicembre). Ma anche in un attacco alla supply chain avvenuto a luglio, che ha coinvolto numerosi soggetti legati a un fornitore IT compromesso. L’analisi degli impatti evidenzia che il 35% degli incidenti ha compromesso la riservatezza e l’integrità dei dati, mentre il 26% ha causato indisponibilità delle informazioni.
Gli attacchi ransomware sono quelli che bloccano parzialmente l’utilizzo del proprio device, situazione che può essere ripristinata solo pagando un riscatto, spesso entro termini di tempo prestabiliti per dettare il sentimento di urgenza. Questo tipo di attacchi, pur rappresentando un numero relativamente contenuto di eventi (198), sono tra i più devastanti in termini operativi. Proprio per queste ragioni la prevenzione e l’informazione giocano un ruolo fondamentale nella risoluzione dei problemi. Il lavoro dell’ACN è stato intenso quindi anche sul piano preventivo: nel 2024 sono state inviate oltre 53.000 comunicazioni di allerta, a cui si aggiungono aggiornamenti regolari tramite i portali pubblici. Questo impegno ha contribuito a rafforzare le misure di sicurezza dei soggetti vigilati e ad arginare gli effetti degli attacchi.
DDoS: l’hacktivismo prende di mira l’Italia
Nel 2024, l’hacktivismo ha continuato a rappresentare una componente rilevante del panorama delle minacce cyber in Italia, con un incremento del 63% rispetto all’anno precedente. Questi attacchi, prevalentemente riconducibili a gruppi non statuali ma ideologicamente vicini a interessi geopolitici, in particolare nell’ambito del conflitto russo-ucraino, sono spesso finalizzati a generare visibilità più che danni strutturali. Tra i soggetti più attivi contro obiettivi italiani spiccano i collettivi filorussi, responsabili di circa 500 attacchi. Il gruppo NoName057(16) si è distinto per la frequenza degli attacchi, che si sono concentrati su istituzioni pubbliche e infrastrutture considerate strategiche. I bersagli, nella maggior parte dei casi, sono stati colpiti da attacchi DDoS a scopo dimostrativo, spesso annunciati o rivendicati attraverso social media e canali pubblici.
Pur trattandosi di attacchi che generalmente producono disservizi temporanei e contenuti, in particolare quando le infrastrutture bersaglio sono sprovviste di sistemi di difesa automatizzati, la rapidità con cui vengono lanciati consente agli attaccanti di rivendicare un impatto mediatico superiore a quello reale. In genere, infatti, l’intervento manuale degli operatori è sufficiente a neutralizzarne gli effetti.
Le campagne più rilevanti e le contromisure
Durante il 2024 si sono registrate tre campagne di attacchi significative, concentrate nei mesi di febbraio, maggio e dicembre. Su un totale di 519 eventi DDoS censiti, soltanto il 15% ha causato disservizi tangibili, solitamente limitati a circa un’ora di interruzione dei servizi. I settori più colpiti sono stati i trasporti, in particolare i siti delle aziende di trasporto locale, le amministrazioni centrali e il comparto finanziario. Un elemento rilevante emerso nel 2024 è lo spostamento del focus degli attacchi verso servizi secondari, spesso non adeguatamente protetti, anziché su quelli principali.
Questa strategia consente ai gruppi di mantenere alta la propria visibilità e alimentare la propaganda attivista anche in assenza di reali conseguenze operative. In risposta, il CSIRT Italia ha predisposto tempestive campagne di allerta e pubblicato avvisi dedicati sul proprio portale pubblico. Nel confronto internazionale, l’Italia si posiziona al nono posto per numero di rivendicazioni DDoS e al quarto tra i Paesi dell’Unione Europea.
Ransomware: un fenomeno in espansione che colpisce le PMI
Il ransomware si conferma, anche nel 2024, tra le minacce più gravi in termini di impatto. Sono stati rilevati 198 episodi, in aumento del 20% rispetto al 2023, che hanno coinvolto 192 vittime accertate, mentre in sei casi non è stato possibile identificare il soggetto colpito. Va considerato che questi numeri rappresentano solo una frazione del fenomeno reale, poiché molti attacchi non vengono denunciati o non emergono pubblicamente. Le ragioni principali di questa sottorappresentazione risiedono nella riluttanza delle vittime a segnalare l’incidente e nella strategia di alcuni attori criminali di non rendere pubbliche le loro azioni per aumentare le possibilità di riscatto. Il settore privato è il più colpito, in particolare le piccole e medie imprese, coinvolte nel 75% dei casi.
Le PMI, spesso prive di strutture e competenze adeguate in ambito cyber, rappresentano un bersaglio preferenziale per gli attaccanti, sia per la loro vulnerabilità tecnica che per la maggiore propensione al pagamento del riscatto. Solo il 5% degli attacchi ha coinvolto soggetti ad alta criticità, cioè obbligati per legge alla notifica degli incidenti, confermando una tendenza alla selezione di obiettivi meno strutturati. Il settore manifatturiero si è confermato il più bersagliato, seguito dal comparto sanitario. Quest’ultimo, pur registrando un numero inferiore di attacchi, risulta particolarmente esposto in termini di gravità degli impatti, soprattutto a causa della natura sensibile dei dati trattati. Le città di Roma e Milano continuano a essere le aree geografiche più colpite.
L’evoluzione del fenomeno e i gruppi più attivi
Nel 2024 sono stati identificati almeno 40 gruppi ransomware attivi in Italia, il doppio rispetto all’anno precedente. Questo dato evidenzia la capacità delle organizzazioni criminali di rigenerarsi anche dopo azioni di contrasto internazionali, spesso attraverso la creazione di nuove cellule composte da membri di gang disgregate.
Un fattore chiave di questa evoluzione è l’adozione del modello Ransomware-as-a-Service (RaaS), che consente ai cybercriminali di esternalizzare lo sviluppo e la distribuzione del malware, rendendo l’attività accessibile a una platea più ampia di affiliati. Il riutilizzo di codice malevolo già esistente ha ulteriormente facilitato la proliferazione di nuovi gruppi.
I principali gruppi ransomware attivi contro obiettivi italiani nel 2024 sono stati RansomHub, LockBit 3.0 e 8Base.
APT: le minacce più sofisticate
Le campagne attribuibili ad Advanced Persistent Threats (APT) hanno continuato a rappresentare una minaccia di rilievo nel corso del 2024, con azioni mirate condotte da attori altamente specializzati. Questi attacchi, spesso invisibili nella fase iniziale, puntano a introdurre malware complessi nei sistemi target per esfiltrare dati riservati e mantenere accessi nascosti nel tempo. Sono emersi collegamenti con noti gruppi APT internazionali, come APT28, APT29, Turla, APT15, Liminal Panda e Lazarus Group. Le vittime, 21 in totale, appartengono a settori ad alto valore strategico, tra cui diplomazia, difesa, aerospazio, trasporti, telecomunicazioni, istruzione e tecnologie avanzate.
Gli attori hanno impiegato tecniche diversificate, dallo sfruttamento di vulnerabilità software alle tecniche di social engineering, fino all’utilizzo di account compromessi. In diversi casi, il vettore di ingresso iniziale è rimasto sconosciuto. Tra i metodi impiegati sono stati osservati attacchi di spear-phishing estremamente curati e mirati, nonché la diffusione di malware non documentati, sviluppati ad hoc per i bersagli.
Un elemento particolarmente significativo è l’uso di infrastrutture anonime condivise tra più attori malevoli per rendere più difficile l’attribuzione delle attività. Alcuni attacchi sono stati condotti sfruttando strumenti cloud per occultare il comando e controllo, o come canale di distribuzione del malware. È stato inoltre rilevato l’uso improprio di strumenti legittimi destinati al red teaming, sia open-source che commerciali, per finalità offensive.
Monitoraggio e allerta: una strategia preventiva
L’Agenzia per la Cybersicurezza Nazionale ha proseguito nel 2024 le attività di monitoraggio proattivo, mirate a individuare e segnalare tempestivamente le vulnerabilità e i comportamenti sospetti che potrebbero essere sfruttati per scopi malevoli.
Nel dettaglio, sono stati segnalati:
- 722 siti di phishing, spesso progettati per imitare portali web istituzionali o aziendali, al fine di carpire credenziali o ingannare gli utenti;
- 550 dispositivi o servizi IT compromessi, per i quali sono state inviate 176 segnalazioni (di cui il 14% a soggetti pubblici e l’86% a privati);
- 11.290 dispositivi vulnerabili, identificati per esposizione a rischi critici. In questo caso sono state emesse 5.197 comunicazioni di allerta, distribuite per il 31% a soggetti pubblici e per il 69% a privati.
Tra le tecnologie più esposte spiccano quelle impiegate per il lavoro da remoto, come VPN e Virtual Desktop, che risultano particolarmente vulnerabili sia per la loro intrinseca esposizione alla rete, sia per il numero di falle rilevate nel corso dell’anno.
Scenari e prospettive
Lo scenario è dunque complesso e il 2024 si è confermato come un anno di sfide e dominio cyber da parte di attori malevoli. Secondo Bruno Frattasi, direttore dell’ACN: «Solo con il contributo di tutti si può fronteggiare una minaccia così penetrante, divenuta sempre più sofisticata e in grado di coinvolgere porzioni crescenti della popolazione, a partire dai più indifesi e dai più esposti».
«La maturazione nelle varie componenti sociali, di una più forte coscienza del rischio digitale – ha scritto Frattasi nell’introduzione alla relazione – è una condizione ineludibile per dare fondamenta più robuste alla resilienza del Paese. Come lo è, altresì, curare la crescita delle competenze digitali». Non si tratta solo di una questione economica: «Operare perché la sicurezza informatica venga irrobustita e preservata in favore di ciascun cittadino è anche una grande questione di democrazia digitale e di protezione effettiva della libertà e della dignità della persona».
