Il nostro Paese è una delle principali destinazioni per il crimine informatico. Analizzando il fenomeno nel suo complesso, nel 2025 l’Italia ha subito 116.498 attacchi registrati, equivalenti a un cyber attacco ogni 5 minuti.
Questo conteggio include tutte le offensive condotte, comprendendo gli attacchi diretti a privati, aziende e istituzioni pubbliche.
Un trend significativo emerso nel 2025 riguarda le frodi realizzate sfruttando PagoPA, la piattaforma digitale che consente a cittadini e aziende di effettuare pagamenti verso la pubblica amministrazione (Pa).
Il Cert-Agid, l’ente dell’Agenzia per l’Italia Digitale che assiste le Pa in materia di cybersecurity, ha registrato 3.620 campagne malevole attive su tutto il territorio nazionale.
In aggiunta, un canale molto utilizzato dai criminal hacker è la Pec, la posta elettronica certificata, che per sua natura genera fiducia poiché considerata sicura e utilizzata da mittenti affidabili.
Gli indicatori di compromissione
Il rapporto redatto dal Cert-Agid evidenzia un aumento delle frodi online nel 2025.
I dati devono essere contestualizzati e risulta utile soffermarsi sui 51.330 indicatori di compromissione forniti dal Cert-Agid.
Il termine indicatori di compromissione si riferisce a evidenze tecniche che segnalano un attacco malware o phishing altamente probabile a un sistema informatico.
In particolare, sono stati identificati 38.798 indicatori di compromissione legati a malware riconducibili a 90 diverse famiglie di software dannosi e 12.732 indicatori relativi a campagne di phishing che hanno coinvolto 153 marchi.
Questi indicatori di compromissione sono utili per promuovere una difesa proattiva e rappresentano dati concreti, riflettendo quindi la realtà dei fatti.
Le truffe PagoPA e le Pec
Una delle novità più significative del 2025 è il massiccio utilizzo di campagne di phishing a tema PagoPA.
Un marchio istituzionale e percepito come sicuro dagli utenti è stato quindi sfruttato su larga scala per realizzare frodi. In particolare, con 328 eventi registrati, il marchio PagoPA è stato utilizzato nel 9% dei casi documentati.
Gli attacchi di questo tipo seguono schemi simili. La vittima riceve una falsa email di sollecito, tipicamente riguardante sanzioni stradali non saldate, contenente istruzioni (link) per regolarizzare la propria posizione.
Questi link rimandano a pagine web contraffatte che imitano perfettamente quelle del soggetto che sollecita la vittima, la quale, inserendo i propri dati personali e i numeri delle carte di pagamento, oltre a subire un danno economico immediato, espone i propri dati sensibili al crimine informatico, aumentando così il rischio di ulteriori addebiti e dell’uso improprio delle informazioni, che nei casi più gravi può sfociare in un furto di identità.
Questo tipo di frodi è emerso a partire da marzo 2025, per poi crescere in modo significativo a partire da maggio dello stesso anno.
Oltre al marchio PagoPA, il crimine informatico sta utilizzando le Pec come un vettore malevolo privilegiato, il cui coinvolgimento è aumentato dell’80% rispetto al 2024.
Sono state identificate 103 campagne malevole. Tra queste, 77 di phishing principalmente mirate a sottrarre credenziali bancarie e 26 campagne destinate alla distribuzione di software malevolo (malware) attraverso il quale gli attaccanti esfiltrano dati o prendono il controllo dei dispositivi delle vittime.
Gli aggressori sfruttano l’ufficialità e la sicurezza delle Pec, utilizzando caselle legittime compromesse o creando indirizzi email funzionali alla realizzazione della frode.
La Posta elettronica certificata è considerata sicura e quindi i destinatari tendono a conferire a questo tipo di email una certa serietà e ufficialità. Tuttavia, come dimostrano i dati registrati, si crea una certa confusione tra protezione e sicurezza. La Pec è un mezzo di comunicazione protetto dal punto di vista legale, ma non è inespugnabile dal punto di vista della sicurezza.
In particolare, il crimine informatico la utilizza per gestire campagne di phishing. Di solito si tratta di email apparentemente inviate da istituti di credito che avvertono di problemi di sicurezza o emergenze tali da costringere la vittima a inserire le proprie credenziali bancarie su pagine web controllate dagli aggressori.
In alternativa, sempre sfruttando le Pec, vengono distribuiti malware sotto forma di file compressi (.zip o .rar) spacciati per moduli d’ordine, documenti di lavoro o fatture insolute.
Le altre truffe
Nonostante PagoPA e Pec siano temi e veicoli sempre più frequenti, il crimine informatico continua a fare ampio uso delle email ordinarie (Peo) e degli sms.
Nel 2025 hanno preso piede anche le campagne che utilizzano la tecnica ClickFix. In questo caso, con vari stratagemmi, l’utente viene invitato a copiare e incollare una porzione di codice nel proprio dispositivo.
Un insieme di istruzioni scritte per superare i controlli di sicurezza imposti dai sistemi operativi, consentendo agli aggressori di diffondere codice malevolo e di controllare i terminali compromessi a loro piacimento.
Queste campagne coinvolgono l’utente non di rado convincendolo che un problema tecnico riscontrato durante le sue attività (tipicamente pagine web che non rispondono come previsto) possa essere risolto inserendo manualmente il codice malevolo fornito dagli aggressori.
ransomware, nel corso del 2025, hanno subito un’evoluzione. Di norma, per esercitare pressione affinché le aziende vittime paghino i riscatti e possano riottenere i propri file che il virus ha reso inaccessibili, gli aggressori esfiltrano dati minacciando di pubblicarli online. Questa tecnica, nota come doppia estorsione, sta subendo una trasformazione: i criminali minacciano di utilizzare i dati per addestrare modelli IA, il che implica che il legittimo proprietario perde ogni controllo sulle informazioni, favorendo così anche la concorrenza e aumentando i rischi per la privacy, la sicurezza e la reputazione aziendale.
La privacy, nel corso del 2025, ha affrontato anche problemi di una certa gravità. Un caso che ha suscitato scalpore risale ad agosto, quando da una dozzina di hotel italiani sono state sottratte le copie di circa 170mila documenti di identità.
L’uso delle IA per mettere a segno le truffe
Come riportato dal Cert-Agid per il 2025, l’impiego dell’intelligenza artificiale (IA) è diventato un modus operandi per i criminal hacker, che la utilizzano sia per redigere messaggi impeccabili e quindi credibili, sia per personalizzare le comunicazioni rendendole più persuasive.
Inoltre, le IA consentono ai criminali di raggiungere un numero maggiore di potenziali vittime creando e gestendo simultaneamente un numero superiore di campagne.
Il rapporto Cert-Agid, che pone la Pa al centro delle analisi, menziona anche un terzo filone di rischi legati all’uso delle IA che coinvolge la pubblica amministrazione dall’interno. L’uso di modelli IA per automatizzare o semplificare parte del lavoro richiede un assetto di cyber sicurezza in grado di affrontare i rischi che ciò comporta. Non si traduce necessariamente in una minaccia per cittadini e aziende, ma rappresenta un monito per gli enti pubblici affinché si dotino di sistemi adeguati.
Come riconoscere le truffe
Il centro assistenza PagoPA ha creato una pagina web in cui illustra i principali indicatori di una frode.
Si tratta di suggerimenti utilizzabili per identificare qualsiasi tipo di truffa. Infatti, ogni inganno si basa su caratteristiche specifiche, a cominciare dal fatto che i criminali creano situazioni di emergenza che richiedono un intervento immediato da parte della vittima.
Può trattarsi di una multa non saldata alla quale verranno presto aggiunte sanzioni o interessi, di un problema tecnico che spinge la banca a verificare le credenziali di un conto intestato alla vittima oppure, può trattarsi di una sospensione immediata della fornitura di gas o di energia elettrica a causa di una bolletta insoluta.
L’urgenza non è l’unico indicatore. Infatti, i criminali tendono a richiedere alla vittima dati sensibili, indirizzandola verso pagine web contraffatte ma identiche a quelle ufficiali in cui sarà necessario inserire anche i dettagli di una carta di pagamento (e quindi numero, scadenza e Cvv).
Prima di lasciarsi prendere dalla fretta, è consigliabile contattare il mittente attraverso i canali ufficiali, come social media, numeri di telefono e indirizzi email pubblicati sul sito web aziendale.
Cedere all’urgenza o eliminare ogni dubbio a causa della presunta ufficialità del mittente di email, Pec o sms, è poco saggio. Nessuna emergenza è tale da giustificare una verifica supplementare.
Infine, e questo vale in generale, è opportuno utilizzare dispositivi dotati di sistemi operativi e software antivirus aggiornati.
I commenti sono chiusi.