L’Italia si colloca tra le nazioni più colpite dal crimine informatico. Analizzando il fenomeno nel suo complesso, nel 2025 il nostro Paese ha subito 116.498 attacchi registrati, corrispondenti a un cyber attacco ogni 5 minuti.
Nel conteggio sono inclusi tutti gli assalti effettuati, quindi gli attacchi diretti a privati, aziende e istituzioni pubbliche.
Una delle tendenze emerse nel 2025 riguarda le frodi realizzate sfruttando PagoPA, la piattaforma digitale che consente a cittadini e aziende di effettuare pagamenti verso la pubblica amministrazione (Pa).
Il Cert-Agid, l’ente dell’Agenzia per l’Italia Digitale che assiste le Pa in ambito cybersecurity, ha registrato 3.620 campagne malevole attive su tutto il territorio nazionale.
In aggiunta, un canale molto utilizzato dai criminal hacker è la Pec, la posta elettronica certificata, che per sua natura trasmette fiducia poiché considerata sicura e impiegata da mittenti affidabili.
Gli indicatori di compromissione
Il rapporto redatto dal Cert-Agid evidenzia un aumento delle frodi online nel 2025.
I dati devono essere contestualizzati ed è importante soffermarsi sui 51.330 indicatori di compromissione forniti dal Cert-Agid.
Il termine indicatori di compromissione si riferisce a evidenze tecniche che segnalano un attacco malware o phishing altamente probabile a un’infrastruttura informatica.
In particolare, sono stati identificati 38.798 indicatori di compromissione relativi a malware appartenenti a 90 diverse famiglie di software dannosi e 12.732 indicatori relativi a campagne di phishing che hanno coinvolto 153 marchi.
Gli indicatori di compromissione sono utili per favorire una difesa proattiva e rappresentano dati concreti, rispecchiando quindi la realtà dei fatti.
Le truffe PagoPA e le Pec
Una delle novità più significative del 2025 è il massiccio utilizzo di campagne di phishing a tema PagoPA.
Un marchio istituzionale e percepito come sicuro dagli utenti è stato quindi sfruttato su larga scala per realizzare frodi. In particolare, con 328 eventi registrati, il marchio PagoPA è stato utilizzato nel 9% dei casi censiti.
Gli attacchi di questo tipo seguono logiche simili. La vittima riceve una falsa email di sollecito, generalmente riguardante sanzioni stradali non pagate, contenente istruzioni (link) per regolarizzare la propria posizione.
Tali link portano a pagine web contraffatte che imitano perfettamente quelle del soggetto che sollecita la vittima, la quale, inserendo i propri dati personali e i numeri delle carte di pagamento, oltre a subire un danno economico immediato, espone i propri dati sensibili al crimine informatico, aumentando così il rischio di ulteriori addebiti e dell’uso improprio delle informazioni, che nei casi più gravi può tradursi in furto d’identità.
Questo tipo di frodi è emerso a partire da marzo 2025, per poi crescere in modo significativo a partire da maggio dello stesso anno.
Oltre al marchio PagoPA, il crimine informatico sta utilizzando le Pec come un vettore malevolo privilegiato, il cui coinvolgimento è aumentato dell’80% rispetto al 2024.
Sono state identificate 103 campagne malevole. Tra queste, 77 di phishing principalmente mirate a rubare credenziali bancarie e 26 campagne destinate alla distribuzione di software malevolo (malware) attraverso il quale gli attaccanti esfiltrano dati o prendono il controllo dei dispositivi delle vittime.
Gli attaccanti sfruttano l’ufficialità e la sicurezza delle Pec, utilizzando caselle legittime compromesse o creando indirizzi email per attuare la frode.
La Posta elettronica certificata è considerata sicura e quindi i destinatari tendono a conferire a questo tipo di email una certa serietà e ufficialità. Tuttavia, come dimostrano i dati registrati, si crea una certa confusione tra protezione e sicurezza. La Pec è un mezzo di comunicazione protetto dal punto di vista legale, ma non è inespugnabile dal punto di vista della sicurezza.
In particolare, il crimine informatico la utilizza per gestire campagne di phishing. Di solito si tratta di email apparentemente inviate da istituti bancari che avvertono di problemi di sicurezza o emergenze tali da costringere la vittima a inserire le proprie credenziali bancarie su pagine web controllate dagli attaccanti.
In alternativa, sempre sfruttando le Pec, vengono distribuiti malware sotto forma di file compressi (.zip o .rar) spacciati per moduli d’ordine, documenti di lavoro o fatture insolute.
Le altre truffe
Nonostante PagoPA e Pec siano temi e veicoli sempre più frequenti, il crimine informatico continua a fare ampio uso delle email ordinarie (Peo) e degli sms.
Nel 2025 hanno preso piede anche le campagne che utilizzano la tecnica ClickFix. In questo caso, con vari stratagemmi, l’utente viene invitato a copiare e incollare una porzione di codice nel proprio dispositivo.
Un insieme di istruzioni scritte per superare i controlli di sicurezza imposti dai sistemi operativi, consentendo agli attaccanti di diffondere codice malevolo e di controllare i terminali compromessi a loro piacimento.
Queste campagne coinvolgono l’utente, spesso convincendolo che un problema tecnico riscontrato durante le sue attività (tipicamente pagine web che non rispondono come previsto) possa essere risolto inserendo manualmente il codice malevolo fornito dagli attaccanti.
ransomware, nel corso del 2025, hanno subito un’evoluzione. Di norma, per esercitare pressione affinché le aziende vittime paghino i riscatti e possano riottenere i propri file che il virus ha reso inaccessibili, gli attaccanti esfiltrano dati minacciando di pubblicarli online. Questa tecnica, nota come doppia estorsione, sta cambiando forma: i criminali minacciano di utilizzare i dati per addestrare modelli IA, il che implica che il legittimo proprietario perde ogni controllo sulle informazioni, favorendo così anche la concorrenza e aumentando i rischi per la privacy, la sicurezza e la reputazione aziendale.
La privacy, nel corso del 2025, ha affrontato anche problemi significativi. Un caso che ha suscitato scalpore risale ad agosto, quando da una dozzina di hotel italiani sono state sottratte le copie di circa 170mila documenti di identità.
L’uso delle IA per mettere a segno le truffe
Come riportato dal Cert-Agid per il 2025, l’impiego dell’intelligenza artificiale (IA) è diventato un modus operandi per i criminal hacker, che la utilizzano sia per redigere messaggi impeccabili e quindi credibili, sia per personalizzare le comunicazioni rendendole più persuasive.
Inoltre, le IA permettono ai criminali di raggiungere un numero maggiore di potenziali vittime creando e gestendo contemporaneamente un numero più elevato di campagne.
Il rapporto Cert-Agid, che pone la Pa al centro delle analisi, menziona anche un terzo filone di rischi legati all’uso delle IA che coinvolge la pubblica amministrazione dall’interno. L’uso di modelli IA per automatizzare o rendere più fluido parte del lavoro richiede un assetto di cyber sicurezza in grado di affrontare i rischi che ne derivano. Non si traduce necessariamente in una minaccia per cittadini e imprese, ma rappresenta un avvertimento per gli enti pubblici affinché si dotino di sistemi adeguati.
Come riconoscere le truffe
Il centro assistenza PagoPA ha creato una pagina web in cui illustra i principali indicatori di una frode.
Si tratta di suggerimenti utilizzabili per identificare qualsiasi tipo di truffa. Infatti, ogni raggiro si basa su caratteristiche specifiche, a cominciare dal fatto che i criminali creano situazioni di emergenza che richiedono un intervento immediato da parte della vittima.
Può trattarsi di una multa non pagata alla quale verranno presto aggiunte sanzioni o interessi, di un problema tecnico che spinge la banca a verificare le credenziali di un conto intestato alla vittima, oppure di una sospensione immediata della fornitura di gas o elettricità a causa di una bolletta insoluta.
L’urgenza non è l’unico indicatore. Infatti, i criminali tendono a richiedere alla vittima dati sensibili, indirizzandola verso pagine web contraffatte ma identiche a quelle ufficiali, dove sarà necessario inserire anche i dettagli di una carta di pagamento (e quindi numero, scadenza e Cvv).
Prima di lasciarsi prendere dalla fretta, è consigliabile contattare il mittente attraverso i canali ufficiali, come social media, numeri di telefono e indirizzi email pubblicati sul sito web aziendale.
Cedere all’urgenza o eliminare ogni dubbio a causa della presunta ufficialità del mittente di email, Pec o sms, è poco saggio. Nessuna emergenza è tale da giustificare una verifica supplementare.
Infine, e questo vale in generale, è opportuno utilizzare dispositivi dotati di sistemi operativi e software antivirus aggiornati.
I commenti sono chiusi.