Questo contenuto fa parte della serie dedicata alla Business Continuity e rappresenta un approfondimento pratico sull’implementazione della ISO 22301.

L’articolo esplora come progettare Business Continuity Plan (BCP) resilienti, analizza la struttura dello standard internazionale e fornisce una panoramica completa sui vantaggi dell’implementazione di un Business Continuity Management System (BCMS). Particolare attenzione viene dedicata ai concetti chiave come Business Impact Analysis (BIA), Recovery Time Objective (RTO) e Maximum Acceptable Outage (MAO), fondamentali per garantire la continuità operativa aziendale.

Ogni organizzazione è unica e può integrare la disciplina della Business Continuity in modi diversi, tenendo conto di vari fattori come le dimensioni dell’organizzazione, i Paesi in cui opera, la cultura aziendale, il settore di attività e le risorse disponibili.

Business Continuity Plan (BCP) resilienti: come progettarli?

I gestori della Business Continuity sviluppano i Business Continuity Plan (BCP) per garantire il ripristino delle operazioni dopo incidenti o crisi, concentrandosi sul ritorno alla normalità.

Tuttavia, eventi come il Covid-19, le crisi geopolitiche e geoeconomiche o gli eventi atmosferici estremi hanno evidenziato la necessità di adattare questi piani a cambiamenti radicali nella domanda e nei modelli operativi, richiedendo modifiche strategiche e ottimizzazione dei costi. I BCP devono essere integrati con l’intera organizzazione e allineati al processo decisionale strategico per gestire nuovi paradigmi senza difficoltà.

È fondamentale sincronizzare i processi di Business Continuity con quelli di gestione del rischio strategico e operativo, coinvolgendo i Business Continuity Manager nel processo decisionale per adattare il piano alle esigenze emergenti.

Sebbene la certificazione ISO 22301 non sia obbligatoria, molte organizzazioni adottano i suoi principi per garantire la resilienza. La certificazione, valida per tre anni con verifiche annuali, è rilasciata da un Organismo di Certificazione indipendente che valuta l’implementazione del sistema di gestione.

Esaminare la ISO 22301 passo dopo passo aiuta a comprendere come applicare i suoi principi nelle organizzazioni.

Vediamo di che si tratta.

Standard ISO 22301:2019 – struttura e requisiti BCMS

La ISO 22301:2019, primo Standard realmente accettato a livello internazionale sulla Business Continuity, si articola come segue:

1. Introduzione
2. Ambito
3. Riferimenti normativi
4. Termini e definizioni
5. Contesto dell’organizzazione
6. Leadership
7. Pianificazione
8. Supporto
9. Attività Operative
10. Valutazione delle prestazioni

Punti da “0” a “3”

Queste sezioni forniscono un background dello standard, illustrando come dovrebbe essere compreso e applicato (ad esempio Premessa, Introduzione, Scopo e Campo di Applicazione, Riferimenti Normativi, Terminologia).

Punti da “4” a “10”

Le seguenti sezioni stabiliscono gli obiettivi della norma.

Chiarire i risultati della Business Continuity per:

• Permettere alle organizzazioni di proteggersi e ridurre la probabilità di incidenti, crisi, o interruzioni, preparandosi a rispondere e recuperare attraverso l’implementazione e il miglioramento continuo di un Business Continuity Management System (BCMS).
• Stabilire i tempi di ripristino e progettare i piani.
• Mitigare il rischio associato a incidenti, crisi, o interruzioni.
• Assicurare che i processi e le risorse siano recuperabili e ripristinabili per soddisfare le aspettative delle parti interessate riguardo alla fornitura di prodotti e servizi.

Garantire focus e allineamento strategico per:

• Concentrarsi sui prodotti e servizi più importanti e critici per l’organizzazione.
• Assicurare l’allineamento con gli obiettivi e obblighi organizzativi.

Coinvolgere il Top Management per:

• Ottenerne il supporto e coinvolgimento nella definizione degli obiettivi del BCMS.
• Garantire l’adeguata e continua allocazione delle risorse necessarie, insieme al miglioramento continuo, in risposta ai cambiamenti nell’ambito di applicazione e ai risultati della misurazione delle prestazioni.
• Assicurare una maggiore integrazione con il Risk Management per rispondere alle esigenze e obblighi legali, normativi e contrattuali.

Analizziamo ora alcuni punti strategici della ISO 22301, fondamentali per l’avvio del BCMS.

Punto 3.0 – Termini & Definizioni

Tra i principali termini e definizioni ricordiamo:

• Business Continuity (BC) – la capacità di un’organizzazione di continuare a fornire servizi e prodotti a un livello accettabile dopo un evento destabilizzante.
• Business Continuity Management System (BCMS) – il sistema di gestione che stabilisce, implementa, gestisce, monitora, revisiona, mantiene e migliora la Business Continuity. Come definito dal DRI (Disaster Recovery Institute), è un processo di gestione che identifica i rischi, le minacce e le vulnerabilità che potrebbero influenzare la continuità delle attività, fornendo un metodo per costruire la resilienza organizzativa e la capacità di rispondere efficacemente agli incidenti.
• Business Impact Analysis (BIA) – è un processo fondamentale per valutare le attività critiche di un’organizzazione e comprendere l’effetto che un’interruzione operativa potrebbe avere su di esse.
• Crisi – si tratta di una situazione caratterizzata da un elevato livello di incertezza che compromette le attività principali e/o la credibilità di un’organizzazione. In tale contesto, è necessario intraprendere azioni urgenti per mitigare i rischi e ripristinare la normalità operativa.
• Incidente – si tratta di una situazione che potrebbe costituire, o portare a, un’interruzione delle attività, una perdita, un’emergenza o una crisi.
• Informazioni Documentate – il riferimento è a tutte le informazioni che un’organizzazione deve periodicamente controllare e aggiornare, specificando anche come vengono archiviate. In un contesto di revisione e/o certificazione, è fondamentale dimostrare le azioni intraprese attraverso documentazioni quali: verbali di riunioni, procedure, registri di formazione e risultati scaturiti da test ed esercitazioni di continuità.
• Maximum Acceptable Outage (MAO) – è il tempo massimo considerato accettabile durante il quale un prodotto o servizio non viene fornito, o un’attività non viene svolta, a causa di un evento avverso.
• Maximum Tolerable Period of Disruption (MTDP) – è il tempo massimo che può trascorrere considerando gli impatti negativi derivanti da un incidente, come la mancata fornitura di un prodotto, la mancata erogazione di un servizio o il mancato svolgimento di un’attività operativa. È importante notare che il MTDP può essere più lungo del MAO, poiché gli effetti negativi di un’interruzione possono perdurare oltre la durata dell’interruzione stessa.
• Minimum Business Continuity Objective (MBCO) – è il livello minimo di servizi o di prodotti che un’organizzazione considera accettabile per raggiungere i propri obiettivi operativi durante un’interruzione.
• Business Continuity Plan (BCP) – si tratta dello sviluppo di un piano attuabile per prepararsi a probabili eventi di crisi, garantire la sicurezza del personale e riprendere le operazioni aziendali dopo un incidente.
• Recovery Point Objective (RPO) – è il punto temporale in cui le informazioni sono coerenti e possono essere ripristinate per consentire la ripresa delle attività. È spesso denominato Maximum Data Loss e solitamente coincide con l’ultimo backup dei dati.
• Recovery Time Objective (RTO) – indica il tempo entro il quale i servizi, la produzione, i servizi di supporto e le funzionalità operative devono essere ripristinati dopo un incidente che abbia causato discontinuità.

Perché è importante implementare un BCMS?

I vantaggi dell’implementazione di un BCMS sono molteplici; di seguito, a titolo esemplificativo, se ne evidenziano i principali.

Migliore performance dei processi, grazie a:

• mappatura accurata dei processi aziendali;
• riconoscimento dei processi fondamentali per l’attività aziendale;
• individuazione di strategie per il recupero dei processi;
• abilità di rispondere prontamente grazie a procedure operative precise e specifiche;
• definizione dei team con ruoli e responsabilità ben delineati e membri adeguatamente formati.

Migliore posizionamento competitivo, grazie a:

• impatto positivo sui clienti, garantito da una maggiore affidabilità nella fornitura;
• ottimizzazione dell’offerta per specifici segmenti di mercato;
• crescente capacità di affrontare nuovi mercati con resilienza;
• miglioramento del rating di rischio per l’accesso al credito e maggiore attrattiva per i fondi di investimento;
• riduzione dei costi assicurativi.

Ulteriori benefici in termini di:

• maggiore sicurezza e migliore gestione del personale in caso di interruzioni dell’operatività;
• riduzione dei costi in caso di interruzioni dell’operatività;
• migliore gestione della crisi vs. interlocutori interni ed esterni, attraverso pianificazione della comunicazione esterna e interna;
• duplicazione delle risorse per prevenire perdite di dati.

Questo contenuto prosegue la serie dedicata alla Business Continuity, focalizzandosi sull’implementazione pratica del BCMS secondo la ISO 22301. L’implementazione di un Business Continuity Management System (BCMS) conforme alla ISO 22301 rappresenta un investimento strategico fondamentale per la resilienza aziendale. Dalla progettazione di Business Continuity Plan (BCP) efficaci alla comprensione dei parametri critici come Recovery Time Objective (RTO) e Business Impact Analysis (BIA), le organizzazioni possono ottenere significativi vantaggi competitivi e operativi. Nel prossimo approfondimento, analizzeremo nel dettaglio le fasi del ciclo di vita del BCMS, offrendo una guida strutturata per supportare le organizzazioni in ogni passaggio del processo di implementazione.

Per una comprensione completa di tutte le metodologie di implementazione e per approfondire gli aspetti pratici della Business Continuity, vi invitiamo a consultare il white paper completo elaborato da Federica Maria Rita Livelli e Chiara Cavicchioli dal titolo “Business Continuity: mito o realtà? La continuità nella discontinuità – Guida teorica e pratica”, che fornisce una roadmap dettagliata per l’implementazione di sistemi di gestione della continuità operativa di successo.

https://www.ictsecuritymagazine.com/articoli/iso-22301-bcms/

September 1st marks International Women in Cyber Day. While notable strides in progress have been made for women in the industry, there are still roadblocks that impede many career journeys. 

Isabel Castillo, Lead Information Security Engineer at Lastwall, states, “A study performed by the University of Illinois, NYU, and Princeton University showed that by age 6, girls are more likely to think boys can be ‘brilliant’ and are ‘really, really smart’ — a stereotype that continues to be fueled by media, compliments, and marketing. You don’t have to look further than animation geared toward children: the predominant message emphasizes girls’ looks and boys’ capabilities. What this means in terms of cybersecurity is that unless we change that message from a young age, we will continue to see a gender discrepancy in talent pipelines, during meetings, in leadership positions, and at the board level.”

Ruth Okofu, InfoSec Operations Engineer at Lastwall, comments, “In my career leading teams through tough security and compliance programs, I’ve seen how often women are underestimated or overlooked in cybersecurity. Early on, there were very few women in the room when critical risk decisions were made. That lack of visibility can hold us back, even when the expertise is there.” She adds, “But I’ve also seen the difference when women are trusted to lead. They deliver results and bring new perspectives that strengthen how teams approach problems. Progress is happening as more women step into leadership roles and mentor others, but we need to go further.”

How To Enact Change

Okofu recommends, “Organizations must take real action such as creating fair promotion paths, sponsoring women into decision-making roles, and ensuring their voices are visible at conferences, in research, and within leadership seats. Cybersecurity is about resilience. Resilience comes from diversity. Empowering women isn’t just inclusion — it’s a strategy for a stronger, more secure industry.”

Castillo remarks, “To see meaningful change, we must begin sending the message to girls that they are incredibly intelligent, smart and equally capable of performing complex tasks. And this must start early — the education system can benefit from highlighting women’s accomplishments in all fields and introducing kid-friendly engineering toys from a young age. Cybersecurity could be gamified in an inclusive way for both girls and boys, with compliments to girls reframed as, ‘You are incredibly talented; your intellect is growing with more practice.’ Animation can portray geeky, techy heroines who are celebrated for their determination, resilience, diligence and tech-savviness. I firmly believe that once the message for kids is broadened to include all possibilities — and we consistently give girls these types of encouraging affirmations — we will see more women rise to board positions.”

https://www.securitymagazine.com/articles/101874-how-to-enact-meaningful-change-this-international-women-in-cyber-day

Il panorama dell’incident response nella cybersecurity sta attraversando una profonda trasformazione grazie all’integrazione delle tecnologie di intelligenza artificiale. Con l’evolversi delle minacce informatiche verso forme sempre più sofisticate e il crescente volume di incidenti di sicurezza, le organizzazioni si stanno orientando verso sistemi di incident response potenziati dall’IA per mantenere posture di difesa efficaci. Questa evoluzione rappresenta un significativo cambiamento dalle tradizionali procedure di risposta manuale verso misure di sicurezza più automatizzate, intelligenti e proattive.

L’Evoluzione dell’IA nell’Incident Response

Gli sviluppi recenti nell’intelligenza artificiale hanno permesso ai team di sicurezza di elaborare e analizzare enormi quantità di dati relativi alla sicurezza a velocità senza precedenti. Secondo le recenti ricerche della London Metropolitan University, i sistemi di incident response potenziati dall’IA possono ora rilevare e classificare le minacce con tassi di accuratezza superiori all’89%, rappresentando un miglioramento significativo rispetto ai metodi tradizionali. Questo avanzamento è particolarmente cruciale considerando che gli attacchi informatici moderni possono compromettere i sistemi in pochi minuti, mentre i tempi di risposta manuale spesso si estendono a ore o giorni.

L’Impatto del Deep Learning sul Rilevamento delle Minacce

I modelli di deep learning si sono rivelati strumenti particolarmente efficaci nell’arsenale dell’incident response. Alcuni studi condotti dimostrano che le reti neurali profonde (DNN) possono raggiungere tassi di rilevamento fino al 96% per certi tipi di malware, superando significativamente gli approcci tradizionali di machine learning. Questi sistemi eccellono nell’identificazione di pattern nel traffico di rete e nel comportamento dei sistemi che potrebbero indicare una violazione della sicurezza, spesso rilevando anomalie sottili che gli analisti umani potrebbero non notare.

Automatizzazione della Risposta in Tempo Reale

L’integrazione dell’IA nelle piattaforme di incident response ha reso possibile risposte automatizzate in tempo reale alle minacce alla sicurezza. I moderni sistemi di IA possono ora isolare automaticamente i sistemi compromessi, revocare le credenziali compromesse e implementare misure difensive entro pochi secondi dal rilevamento di una minaccia. Questa capacità si è dimostrata particolarmente preziosa nel contenimento di minacce a rapida diffusione come il ransomware, dove i tempi di risposta rapidi sono cruciali per minimizzare i danni.

Capacità Avanzate di Digital Forensics

L’intelligenza artificiale ha rivoluzionato l’analisi forense digitale, una componente critica dell’incident response. Le ricerche recenti indicano che gli strumenti forensi potenziati dall’IA possono elaborare e analizzare le prove digitali fino al 70% più velocemente rispetto ai metodi tradizionali. Questi sistemi possono identificare automaticamente gli artefatti rilevanti, ricostruire le timeline degli attacchi e fornire approfondimenti dettagliati sui vettori e le metodologie di attacco.

Machine Learning nella Classificazione delle Minacce

I moderni sistemi di incident response sfruttano algoritmi di machine learning per classificare e prioritizzare le minacce in modo più efficace. Gli studi dimostrano che i modelli ML avanzati possono raggiungere altissimi tassi di accuratezza nella classificazione attraverso multiple categorie di minacce, permettendo ai team di sicurezza di concentrare i loro sforzi prima sugli incidenti più critici. Questa capacità si è dimostrata particolarmente preziosa in ambienti dove i team di sicurezza affrontano centinaia o migliaia di alert quotidianamente.

Il Ruolo del Natural Language Processing

Il Natural Language Processing (NLP) è emerso come uno strumento prezioso nell’incident response, in particolare nell’elaborazione e nell’analisi dei log di sicurezza e dei feed di threat intelligence. I sistemi NLP avanzati possono ora estrarre automaticamente informazioni rilevanti dalla documentazione di sicurezza e dai report degli incidenti, consentendo decisioni di risposta più rapide e informate.

Direzioni Future e Sfide

Mentre i sistemi di incident response potenziati dall’IA hanno mostrato notevoli promesse, diverse sfide rimangono da affrontare. Queste includono la necessità di un addestramento continuo dei modelli per adattarsi alle nuove minacce, la sfida di ridurre i falsi positivi mantenendo alti tassi di rilevamento e l’importanza di mantenere la supervisione umana nei processi decisionali critici. La ricerca continua nello sviluppo di sistemi di IA più robusti e adattabili che possano affrontare queste sfide migliorando al contempo le capacità di risposta complessive.

Considerazioni sull’Implementazione Pratica

Le organizzazioni che implementano sistemi di incident response potenziati dall’IA devono considerare attentamente fattori come l’integrazione con l’infrastruttura di sicurezza esistente, i requisiti di privacy dei dati e la necessità di personale qualificato che possa gestire e interpretare efficacemente i sistemi guidati dall’IA. Il successo in quest’area richiede un approccio bilanciato che combini sofisticazione tecnologica con considerazioni operative pratiche.

https://www.ictsecuritymagazine.com/notizie/incident-response-intelligenza-artificiale/

Il paradigma dell’endpoint nell’architettura di sicurezza contemporanea

L’evoluzione del panorama delle minacce informatiche ha trasformato radicalmente l’approccio alla sicurezza degli endpoint, ridefinendo i parametri operativi e strategici delle organizzazioni moderne. Nel contesto del 2025, la sicurezza degli endpoint non rappresenta più una mera implementazione di controlli perimetrali tradizionali, ma costituisce un ecosistema integrato di tecnologie avanzate, metodologie predittive e architetture adattive che rispondono alle crescenti complessità del panorama delle minacce.

Le piattaforme di protezione degli endpoint (EPP) si configurano come salvaguardie implementate attraverso software per proteggere le macchine degli utenti finali, come workstation e laptop, contro gli attacchi, includendo antivirus, anti-spyware, anti-adware, firewall personali e sistemi di rilevamento e prevenzione delle intrusioni basati su host.

Analisi del panorama delle minacce contemporanee

L’ascesa del ransomware e delle tecniche di evasione avanzate

Il panorama delle minacce del 2025 presenta caratteristiche di particolare sofisticazione e aggressività. Nel 2025 Global Incident Response Report di Unit 42, si evidenzia che l’86% degli incidenti ha comportato interruzioni operative, spaziando da downtime operativo a danni reputazionali. La proliferazione di gruppi ransomware sempre più organizzati ha introdotto tattiche innovative che sfidano i paradigmi di sicurezza tradizionali.

I gruppi di ransomware stanno ora utilizzando strumenti noti come “EDR killers”, progettati specificamente per terminare il software difensivo, rendendo più facile per gli aggressori crittografare vaste quantità di dati prima che qualcuno se ne accorga. Questa evoluzione tattica ha generato un’accelerazione nell’adozione di tali strumenti all’interno della comunità degli affiliati, trasformandoli in risorse favorite nel toolkit degli aggressori.

Statistiche critiche del panorama delle minacce

L’analisi quantitativa delle minacce rivela tendenze preoccupanti che definiscono il contesto operativo del 2025:

• LockBit ha rappresentato 91 milioni di dollari in pagamenti di ransomware nel 2025, rendendolo il gruppo più prolifico dell’anno, mentre RansomHub è stato il più costantemente attivo
• Sono stati registrati oltre 5.263 attacchi nel 2024, il numero più alto mai registrato da quando NCC ha iniziato il monitoraggio nel 2021
• Il pagamento medio del riscatto è salito a 2,73 milioni di dollari nel 2024, quasi raddoppiando rispetto all’anno precedente

Evoluzione delle tecniche di attacco: living-off-the-land e AI-driven malware

Il malware guidato dall’intelligenza artificiale sta utilizzando l’machine learning per mutare il codice maligno in tempo reale al fine di evitare il rilevamento statico. Questa tecnologia consente al malware di approfondire la sua installazione, rilevare ambienti sandbox e adattarsi alle difese degli endpoint.

La proliferazione delle tecniche living-off-the-land (LOTL) rappresenta una sfida particolare per le difese tradizionali, poiché una proporzione enorme degli strumenti utilizzati dagli aggressori è costituita da software legittimo, con il malware che tende ad essere distribuito con parsimonia e potrebbe apparire solo alla conclusione di un attacco.

Architetture di endpoint detection and response (EDR): fondamenti tecnici e implementazione

Definizione e funzionalità core dell’EDR

L’endpoint detection and response (EDR) è una soluzione di sicurezza degli endpoint che monitora continuamente i dispositivi degli utenti finali per rilevare e rispondere alle minacce informatiche. L’EDR è definito come una soluzione che registra e memorizza i comportamenti a livello di sistema degli endpoint, utilizza varie tecniche di analisi dei dati per rilevare comportamenti sospetti del sistema, fornisce informazioni contestuali, blocca le attività dannose e fornisce suggerimenti di rimedio per ripristinare i sistemi compromessi.

Componenti tecnologiche avanzate dell’EDR

L’implementazione efficace di soluzioni EDR richiede l’integrazione di diverse componenti tecnologiche:

Monitoraggio comportamentale e analytics predittive

Le soluzioni EDR più efficaci leveranno machine learning, analisi comportamentale avanzata e capacità di monitoraggio in tempo reale. Queste tecnologie permettono l’identificazione proattiva di indicators of attack (IOA) attraverso l’analisi di miliardi di eventi in tempo reale.

Capacità di threat hunting proattiva

I dati raccolti dall’EDR dovrebbero creare visibilità approfondita nell’endpoint, includendo tipicamente modifiche di dati o file, attività degli utenti, esecuzioni di processi, connessioni di rete e altro. Le soluzioni EDR hanno accesso a database che mantengono un elenco aggiornato delle firme di attacco, domini e indirizzi IP maligni.

Evoluzione verso extended detection and response (XDR)

Mentre l’EDR fornisce protezione necessaria ed efficace contro gli attacchi degli endpoint, la protezione è limitata solo a ciò che viene analizzato dai dati degli endpoint. XDR è un’evoluzione dell’EDR, estendendo la protezione oltre l’endpoint analizzando multiple fonti di telemetria.

L’architettura XDR integra le capacità associate a strumenti SIEM, UEBA, NDR ed EDR separati, correlando e unendo questi dati ricchi per raggruppare insieme gli allarmi correlati in un’interfaccia web consolidata.

Zero trust architecture e sicurezza degli endpoint

Principi fondamentali del modello zero trust

“Never trust, always verify” è il principio fondamentale del Zero Trust. Questo principio richiede che nessuna entità – sia essa un utente, dispositivo o applicazione – sia considerata attendibile per impostazione predefinita, indipendentemente dal fatto che si trovi all’interno o all’esterno del perimetro di rete.

La verifica deve essere applicata continuamente e dinamicamente per garantire che l’accesso sia concesso sulla base di valutazioni del rischio in tempo reale.

Implementazione del zero trust negli endpoint

Il principio fondamentale alla base della sicurezza degli endpoint zero trust è che tutti gli utenti e dispositivi, sia all’interno che all’esterno della rete, devono essere verificati prima di ottenere l’accesso all’infrastruttura IT, alle applicazioni e ai dati dell’organizzazione.

L’estensione del Zero Trust all’endpoint crea un’architettura di sicurezza olistica per l’organizzazione, integrando la sicurezza degli endpoint con la sicurezza di rete. Questo approccio consente di sfruttare l’intelligenza acquisita sugli endpoint per impostare politiche firewall che isolano specifici endpoint quando sperimentano eventi di sicurezza.

Tecnologie abilitanti per il zero trust

Le reti Zero Trust utilizzano micro-segmentazione, perimetri definiti dal software (SDP) e crittografia per limitare il movimento laterale e minimizzare le superfici di attacco. Queste tecnologie sono particolarmente efficaci nell’ambiente dinamico odierno dove i modelli di sicurezza perimetrale tradizionali sono insufficienti.

Framework normativi e standard di compliance: NIST SP 800-53 e CSF 2.0

Evoluzione del cybersecurity framework NIST

Il 3 aprile 2025, NIST ha pubblicato la versione finale di NIST Special Publication 800-61r3, Raccomandazioni e Considerazioni per la Risposta agli Incidenti per la Gestione del Rischio di Cybersecurity: un Profilo di Comunità CSF 2.0. Questa pubblicazione mira ad assistere le organizzazioni nell’incorporare le raccomandazioni e considerazioni per la risposta agli incidenti di cybersecurity in tutte le loro attività di gestione del rischio di cybersecurity come descritto dal NIST Cybersecurity Framework (CSF) 2.0.

Controlli di sicurezza per gli endpoint secondo NIST SP 800-53

NIST SP 800-53 risponde alla necessità urgente di rafforzare ulteriormente i sistemi informativi sottostanti, i prodotti componenti e i servizi da cui dipende la Nazione in ogni settore dell’infrastruttura critica, assicurando che tali sistemi, componenti e servizi siano sufficientemente affidabili e forniscano la necessaria resilienza per supportare gli interessi economici e di sicurezza nazionale degli Stati Uniti.

La pubblicazione adotta un approccio proattivo e sistematico per sviluppare e rendere disponibili a un’ampia base di organizzazioni del settore pubblico e privato un set completo di misure di salvaguardia per tutti i tipi di piattaforme informatiche.

Implementazione dei controlli tecnici

I controlli tecnici sfruttano la tecnologia per salvaguardare reti, endpoint, server e altre infrastrutture. L’obiettivo è prevenire l’accesso non autorizzato permettendo al contempo un accesso senza interruzioni per gli utenti autorizzati.

L’implementazione efficace richiede un approccio strutturato che includa:

• Valutazione e pianificazione degli endpoint di copertura
• Implementazione di sensori e agenti di monitoraggio
• Configurazione di politiche di risposta automatizzata
• Integrazione con sistemi SIEM e SOAR esistenti

Scenari di implementazione e casi d’uso enterprise

Caso d’uso 1: organizzazione sanitaria con infrastruttura ibrida

Nel settore sanitario, il costo medio di una violazione ha raggiunto 9,77 milioni di dollari tra il 2022-2024, mostrando quanto sia intensivo il recupero in termini di risorse. Le organizzazioni sanitarie richiedono:

• Crittografia robusta degli endpoint e segmentazione zero trust
• Monitoraggio continuo dei dispositivi medici IoT
• Gestione centralizzata delle identità privilegiate
• Controlli di accesso basati sul ruolo per i dati dei pazienti

Caso d’uso 2: istituzione finanziaria con workforce remoto

Le istituzioni finanziarie devono affrontare sfide specifiche legate alla conformità normativa e alla protezione di dati sensibili:

• Implementazione di soluzioni EDR/XDR integrate
• Controlli di data loss prevention (DLP) avanzati
• Autenticazione multi-fattore adattiva
• Monitoraggio comportamentale degli utenti privilegiati

Caso d’uso 3: azienda manifatturiera con OT/IT convergence

I settori più presi di mira che Rapid7 ha osservato sono stati manifatturiero, servizi professionali, retail e sanitario. Le aziende manifatturiere richiedono:

• Segmentazione di rete tra ambienti IT e OT
• Protezione degli endpoint industriali e SCADA
• Monitoraggio delle comunicazioni machine-to-machine
• Resilienza operativa contro attacchi di ransomware

Prospettive future e tendenze emergenti

Integrazione dell’intelligenza artificiale nelle difese

L’integrazione dell’intelligenza artificiale nelle operazioni di ransomware segna un punto di svolta nell’evoluzione del cybercrime. Con l’avvicinarsi del 2025, l’AI non è più un vettore di minaccia teorico; sta attivamente rimodellando come il ransomware viene sviluppato, distribuito ed eseguito.

Le organizzazioni devono sviluppare contromisure AI-driven che includano:

• Sistemi di rilevamento delle anomalie basati su machine learning
• Analisi comportamentale predittiva degli utenti
• Automazione della risposta agli incidenti
• Threat intelligence alimentata dall’AI

Evoluzione verso continuous adaptive trust

Man mano che le organizzazioni maturano nel loro percorso Zero Trust, il 2025 evolve verso quello che gli esperti chiamano “Continuous Adaptive Trust” (CAT). A differenza dei modelli di sicurezza statici, CAT comporta “valutazione continua e aggiustamento dei permessi di accesso e livelli di fiducia basati sui rischi attuali e altre informazioni contestuali nel sistema”.

Sfide normative e di compliance emergenti

Le normative sulla compliance stanno imponendo regole sempre più rigorose per la gestione dei dati con pesanti sanzioni per le violazioni, che si tratti di GDPR o HIPAA. Le organizzazioni devono prepararsi per:

• Requisiti di data residency più stringenti
• Audit di sicurezza più frequenti e dettagliati
• Reporting obbligatorio degli incidenti in tempo reale
• Certificazioni di sicurezza settoriali specifiche

Raccomandazioni strategiche per l’implementazione

Approccio graduale e risk-based

Il documento NIST enfatizza che le organizzazioni intraprendano un percorso graduale verso il zero trust, che include:

1. Scoperta e inventario dell’ambiente esistente: identificare e catalogare tutti gli asset – hardware, software, applicazioni, dati e servizi
2. Valutazione del rischio e prioritizzazione: determinare le vulnerabilità critiche e i vettori di minaccia più probabili
3. Implementazione incrementale: sviluppare una roadmap di implementazione basata su priorità di rischio e impatto operativo
4. Monitoraggio e ottimizzazione continua: stabilire metriche di performance e processi di miglioramento continuo

Integrazione tecnologica e interoperabilità

L’implementazione efficace richiede un approccio ecosistemico che integri:

• Piattaforme EDR/XDR native del cloud: per scalabilità e flessibilità operativa
• Sistemi SIEM/SOAR di nuova generazione: per correlazione avanzata degli eventi e automazione della risposta
• Soluzioni di identity and access management (IAM): per gestione centralizzata delle identità e controlli di accesso granulari
• Tecnologie di crittografia avanzata: inclusa la preparazione per la crittografia post-quantistica

Formazione e awareness del personale

L’social engineering nel 2024 era orientato verso un facile accesso iniziale attraverso lo sfruttamento dei servizi di supporto. È cruciale implementare:

• Programmi di formazione continua sulla sicurezza
• Simulazioni di attacchi di phishing e social engineering
• Certificazioni di sicurezza per il personale IT
• Cultura della sicurezza a livello organizzativo

Conclusioni: verso un ecosistema di sicurezza resiliente e adattivo

L’endpoint security del 2025 rappresenta un paradigma fondamentalmente diverso rispetto agli approcci tradizionali. La convergenza di tecnologie avanzate come l’intelligenza artificiale, l’architettura zero trust, e le soluzioni EDR/XDR di nuova generazione sta ridefinendo il panorama della sicurezza informatica.

Per il secondo anno consecutivo, NIST è stato classificato come il più prezioso per i professionisti della cybersecurity, confermando l’importanza dei framework standardizzati nell’implementazione di strategie di sicurezza efficaci.

Le organizzazioni che intendono mantenere una postura di sicurezza robusta devono abbracciare un approccio olistico che integri tecnologie avanzate, processi operativi maturi e una cultura della sicurezza pervasiva. La sfida non è più semplicemente quella di proteggere il perimetro, ma di creare un ecosistema di sicurezza resiliente, adattivo e capace di evolversi in risposta alle minacce emergenti.

L’implementazione di successo dell’endpoint security nel 2025 richiede una visione strategica che equilibri innovazione tecnologica, compliance normativa e sostenibilità operativa, posizionando la sicurezza come un fattore abilitante per la trasformazione digitale piuttosto che come un vincolo operativo.

Fonti

National Institute of Standards and Technology (NIST)

Unit 42 Palo Alto Networks

CrowdStrike

SentinelOne

Trend Micro

Cyber Security Tribe

Fonti aggiuntive specializzate

https://www.ictsecuritymagazine.com/articoli/endpoint-security/

L’analisi intersettoriale rivela pattern comuni che trascendono i confini industriali:

Convergenza delle minacce

Tutti i settori stanno sperimentando una convergenza delle minacce, dove attacchi tradizionalmente mirati a specifiche industrie si stanno diffondendo orizzontalmente. Gli attacchi supply chain, in particolare, dimostrano come una compromissione in un settore possa avere effetti a cascata su molteplici industrie. L’attacco Kaseya del 2021 ha colpito simultaneamente MSP, supermercati, servizi IT e istituzioni educative, evidenziando l’interconnessione dell’ecosistema digitale moderno.

Professionalizzazione degli attacchi

Tra i settori si osserva una crescente professionalizzazione degli attacchi, con cybercriminali che sviluppano expertise specifiche per industrie target. Questa specializzazione si manifesta nella comprensione approfondita dei processi operativi, delle vulnerabilità tecniche specifiche e delle dinamiche economiche di ciascun settore.

Impatti operativi critici

In tutti i settori analizzati, gli attacchi cyber stanno causando interruzioni operative significative che vanno oltre il mero danneggiamento dei dati. Nel settore sanitario, gli attacchi possono compromettere direttamente la cura dei pazienti; nel manifatturiero, possono interrompere le catene di produzione globali; nelle telecomunicazioni, possono compromettere le comunicazioni nazionali.

Impatto macroeconomico e tendenze finanziarie

Costi diretti e proiezioni future

Il panorama economico del cybercrime presenta dimensioni che trascendono la comprensione tradizionale del crimine informatico, assumendo proporzioni macroeconomiche di portata globale. I costi mondiali del cybercrime sono stimati raggiungere i 10,5 trilioni di dollari annui entro il 2025 (fonte), sottolineando la necessità di misure di cybersecurity potenziate. Tuttavia, le proiezioni a lungo termine sono ancora più allarmanti: il costo annuale medio del cybercrime dovrebbe superare i 23 trilioni di dollari entro il 2027, in aumento dagli 8,4 trilioni di dollari del 2022 (fonte).

Queste cifre rappresentano più del PIL di molti paesi sviluppati e indicano un panorama di minacce in rapida escalation. La crescita del 15,63 trilioni di dollari entro il 2029 (fonte) evidenzia come il cybercrime stia diventando una delle forze economiche più significative del XXI secolo.

Analisi dei costi per incidente

Il costo medio globale di una violazione dati nel 2024 è di 4,88 milioni di dollari, con un aumento del 10% rispetto all’anno precedente (fonte). Tuttavia, questi dati rappresentano solo la superficie dell’iceberg economico, non considerando gli impatti a lungo termine sulla reputazione, la fiducia dei clienti e la competitività di mercato.

Le organizzazioni che utilizzano estensivamente l’AI per la sicurezza registrano costi di violazione significativamente inferiori, evidenziando come gli investimenti in tecnologie avanzate possano tradursi in risparmi economici sostanziali (fonte). Le organizzazioni che coinvolgono le forze dell’ordine risparmiano in media 1 milione di dollari nei pagamenti ransomware (fonte).

Settore assicurativo e mercato del rischio cyber

Il mercato assicurativo cyber sta sperimentando una trasformazione fondamentale in risposta all’escalation delle minacce. Nel 2022, sono state registrate 2.123 richieste di risarcimento assicurativo cyber dovute ad attacchi ransomware (fonte). Uno studio ha mostrato che il ransomware ha contribuito come causa numero uno di perdita in quasi 6.000 richieste di risarcimento assicurativo cyber, con il riscatto medio in aumento a 247.000 dollari e il costo dell’incidente a 352.000 dollari.

Il 40% delle aziende ha acquistato assicurazione cybersecurity quando si è verificato un cyberattacco su un’altra organizzazione nello stesso settore (fonte), evidenziando come la percezione del rischio si stia traducendo in decisioni di investimento concrete.

Quando si tratta di ransomware, il costo medio di una richiesta assicurativa ammonta a circa 485.000 dollari, mentre il costo medio di un attacco ransomware è stato di 1,85 milioni di dollari nel 2023 (fonte).

Mercato delle criptovalute e monetizzazione criminale

Il mercato delle criptovalute continua a servire come principale veicolo di monetizzazione per i cybercriminali. I furti di criptovalute tramite ransomware sono aumentati del 2%, da 449,1 milioni di dollari a 459,8 milioni di dollari (fonte), evidenziando la persistente attrattiva delle valute digitali per le attività criminali.

L’analisi blockchain di Elliptic ha rivelato che 90 milioni di dollari in pagamenti ransomware Bitcoin sono stati effettuati a DarkSide o affiliati DarkSide nell’ultimo anno, originati da 47 portafogli distinti (fonte). Secondo un rilascio DarkTracer di 2.226 organizzazioni vittima dal maggio 2019, 99 organizzazioni sono state infettate con il malware DarkSide, suggerendo che circa il 47% delle vittime ha pagato un riscatto e che il pagamento medio è stato di 1,9 milioni di dollari.

Investimenti in cybersecurity e ROI

Il mercato globale dell’AI cybersecurity dovrebbe crescere da 22,4 miliardi di dollari nel 2023 a 60,6 miliardi di dollari entro il 2028, riflettendo un tasso di crescita annuale composto del 21,9% (fonte). Questa crescita esplosiva evidenzia come le organizzazioni stiano riconoscendo il valore strategico degli investimenti in tecnologie di sicurezza avanzate.

Il 15,1% delle organizzazioni pianifica di aumentare la spesa per la sicurezza delle informazioni nel 2025 secondo Gartner (fonte). Questo incremento degli investimenti riflette una maturazione nella comprensione del rischio cyber come fattore critico di business.

Impatti settoriali specifici

Settore manifatturiero

MKS Instruments, un fornitore dell’industria dei semiconduttori, ha riportato un impatto negativo di 200 milioni di dollari sui suoi ricavi a causa di un attacco ransomware (fonte). Questo caso illustra come singoli attacchi possano avere implicazioni finanziarie enormi per aziende specifiche.

Settore sanitario

Dal 2020 al 2025, il settore sanitario spenderà 125 miliardi di dollari per difendersi dalle violazioni (fonte). Questa cifra astronomica evidenzia come i costi di difesa stiano diventando una componente significativa dei budget sanitari globali.

Effetti macroeconomici sistemici

Interruzioni della supply chain

Le interruzioni cyber della supply chain stanno creando effetti macroeconomici che si propagano attraverso l’economia globale. L’attacco Colonial Pipeline ha causato carenze di carburante lungo la costa orientale degli Stati Uniti, con prezzi medi nazionali della benzina che sono saliti al livello più alto in oltre sei anni, raggiungendo una media di 3,04 dollari al gallone il 18 maggio (fonte).

Impatti valutari e di mercato

SolarWinds ha visto il prezzo delle sue azioni scendere significativamente all’indomani dell’attacco, affrontando scrutinio e critiche significative per il suo fallimento nel proteggere adeguatamente il processo di aggiornamento software (fonte). Questi impatti sui mercati finanziari dimostrano come gli incidenti cyber possano avere conseguenze immediate sulla valutazione del mercato.

Costi di conformità e regolamentazione

I costi di conformità stanno aumentando significativamente in risposta al inasprimento del panorama normativo. Le organizzazioni devono investire non solo in tecnologie di sicurezza, ma anche in processi, personale e audit per rispettare i requisiti normativi in evoluzione.

L’Italia ha emesso 117 multe GDPR nel 2022 (fonte), con la multa GDPR più alta mai emessa in Italia a carico di Telecom Italia (TIM) per circa 27,8 milioni di euro nel gennaio 2020 (fonte). Questi costi normativi rappresentano una componente crescente del costo totale del rischio cyber.

Contromisure e strategie difensive

Approccio Zero Trust: ridefinizione del perimetro di sicurezza

L’architettura Zero Trust rappresenta una trasformazione paradigmatica nell’approccio alla cybersecurity, abbandonando il tradizionale modello perimetrale in favore di un principio di “never trust, always verify”. Entro il 2025, la maggior parte delle nuove implementazioni di accesso remoto si baserà su Zero Trust Network Access (ZTNA) piuttosto che su VPN tradizionali (fonte), rappresentando un ripensamento fondamentale della sicurezza aziendale.

Il 30% delle organizzazioni adotterà modelli Zero Trust Network Access (ZTNA) entro il 2024 secondo Gartner (fonte). Zero Trust sostituisce le VPN tradizionali fornendo accesso basato sull’identità per singola applicazione invece dell’accesso network-wide, verificando continuamente utenti, dispositivi e segnali contestuali prima di consentire le connessioni.

In Italia, il 77% delle organizzazioni ha adottato Zero Trust per motivi di sicurezza e protezione dei dati (fonte), mentre il 43% delle aziende italiane non aveva un modello Zero Trust in atto ma stava pianificando di adottarlo, e il 19% non stava pianificando di farlo.

Il mercato delle soluzioni Zero Trust Network Access è proiettato a crescere rapidamente nei prossimi anni, riflettendo l’adozione diffusa in tutte le industrie (fonte). Questo shift rappresenta un movimento fondamentale verso la microsegmentazione e l’autenticazione continua come principi di sicurezza centrali.

Intelligenza artificiale difensiva: l’automazione della sicurezza

Le organizzazioni stanno sfruttando l’AI per ridurre i tempi medi di rilevamento, risposta e recupero (MTTR), mantenendosi al passo con attaccanti avanzati (fonte). I sistemi AI difensivi possono analizzare enormi quantità di dati in tempo reale, fornendo contesto attraverso silos e identificando anomalie e potenziali violazioni prima che escalino.

Il 66% delle organizzazioni vede l’AI come il più grande game-changer per la cybersecurity quest’anno, ma solo il 37% ha salvaguardie per valutare gli strumenti AI prima dell’uso (fonte). Questo gap tra riconoscimento del valore e implementazione pratica evidenzia le sfide nell’adozione sicura dell’AI difensiva.

Le organizzazioni che utilizzano estensivamente l’AI per la sicurezza registrano costi di violazione significativamente inferiori (fonte), dimostrando il ROI tangibile degli investimenti in tecnologie AI per la cybersecurity.

Gestione avanzata delle vulnerabilità

CISA mantiene il catalogo KEV (Known Exploited Vulnerabilities) come fonte autorevole delle vulnerabilità che sono state sfruttate in natura (fonte). Le organizzazioni dovrebbero utilizzare il catalogo KEV come input per il loro framework di prioritizzazione della gestione delle vulnerabilità, rappresentando un approccio data-driven alla sicurezza proattiva.

L’implementazione di programmi di gestione delle vulnerabilità maturi include:

Scansione continua e assessment

Le organizzazioni devono implementare sistemi di scansione continua che identifichino vulnerabilità in tempo reale attraverso l’intero stack tecnologico. Questo include non solo i sistemi tradizionali, ma anche i dispositivi IoT, i sistemi OT (Operational Technology) e l’infrastruttura cloud.

Threat intelligence integration

L’integrazione di threat intelligence nelle decisioni di patching consente alle organizzazioni di prioritizzare le vulnerabilità basandosi non solo sul CVSS score, ma anche sull’evidenza di sfruttamento attivo nel wild e sulla rilevanza per il profilo di minaccia specifico dell’organizzazione.

Automated patching e orchestrazione

L’automazione del processo di patching, quando possibile, riduce significativamente la finestra di esposizione. Questo include l’implementazione di sistemi di orchestrazione che possano coordinare il patching attraverso ambienti eterogenei mantenendo la continuità operativa.

Preparazione e risposta agli incidenti

Incident Response Planning

Meno di un quinto (19%) delle aziende britanniche ha un piano formale di risposta agli incidenti (fonte), evidenziando un gap critico nella preparazione organizzativa. Solo il 39% delle aziende britanniche ha assegnato ruoli nel caso si verifichi un incidente cyber.

L’implementazione di piani di incident response efficaci deve includere:

• Definizione di ruoli e responsabilità chiari durante un incidente
• Procedure di escalation ben documentate e testate
• Comunicazione delle crisi sia interna che esterna
• Processi di preservazione delle evidenze per supportare investigazioni forensi

Business Continuity e Disaster Recovery

Il 86% degli incidenti ha comportato interruzioni operative secondo il 2025 Unit 42 Global Incident Response Report (fonte), evidenziando la necessità critica di capacità di business continuity robuste.

La preparazione alla business continuity deve contemplare:

• Backup immutabili e testati regolarmente per garantire la capacità di ripristino
• Sistemi ridondanti per operazioni critiche
• Piani di comunicazione alternativa che non dipendano dall’infrastruttura IT primaria
• Processi manuali di backup per operazioni essenziali

Sicurezza della Supply Chain

Vendor Risk Management

Il 60% delle organizzazioni utilizzerà i rischi di cybersecurity come criterio chiave per valutare nuove opportunità di business entro il 2025 secondo Gartner (fonte). Questo approccio riflette una maturazione nella comprensione dei rischi sistemici della supply chain.

L’implementazione di programmi efficaci di vendor risk management include:

• Due diligence di sicurezza approfondita durante la selezione dei fornitori
• Monitoraggio continuo della postura di sicurezza dei fornitori critici
• Clausole contrattuali che richiedano standard di sicurezza specifici
• Piani di contingenza per la sostituzione rapida di fornitori compromessi

Software Supply Chain Security

Il controllo dei rischi della supply chain software è più efficace nel processo di integrazione continua e sviluppo (CI/CD), quindi la verifica accurata di partner e fornitori e il requisito di buoni controlli di sicurezza nei contratti sono modi essenziali per migliorare la sicurezza di terze parti (fonte).

Le best practice includono:

• Software Bill of Materials (SBOM) per tutti i componenti software
• Firma digitale e verifica di tutti gli artefatti software
• Scanning di sicurezza automatizzato nel processo CI/CD
• Isolation e sandboxing di componenti di terze parti

Formazione e Awareness del personale

Security Awareness Training

Il 90% di tutti gli incidenti cyber è il risultato di errore umano o comportamentale (fonte), sottolineando l’importanza critica della formazione del personale. Solo il 19% delle aziende implementa sessioni di formazione extra dopo un cyberattacco, evidenziando un’opportunità mancata per l’apprendimento organizzativo.

I programmi di formazione efficaci devono includere:

• Training personalizzato per ruolo che rifletta i rischi specifici di ciascuna funzione
• Simulazioni di phishing regolari per testare e migliorare la preparazione
• Aggiornamenti continui sulle nuove minacce e tecniche di attacco
• Metriche di performance per misurare l’efficacia del training

Insider Threat Management

Il 48% delle organizzazioni riporta che gli attacchi insider stanno diventando più frequenti nell’ultimo anno (fonte). La gestione delle minacce insider richiede un approccio equilibrato che combini controlli tecnici con sensibilità per la privacy e la cultura aziendale.

Tecnologie emergenti per la difesa

Behavioral Analytics e UEBA

L’implementazione di User and Entity Behavior Analytics (UEBA) consente alle organizzazioni di identificare attività anomale che potrebbero indicare compromise o insider threats. Questi sistemi utilizzano machine learning per stabilire baseline comportamentali e identificare deviazioni significative.

Threat Hunting proattivo

L’implementazione di capacità di threat hunting proattivo consente alle organizzazioni di identificare minacce avanzate che potrebbero evadere i controlli di sicurezza tradizionali. Questo include l’uso di threat intelligence, analisi forense e tecniche di detection avanzate.

Extended Detection and Response (XDR)

Le piattaforme XDR forniscono visibilità e capacità di risposta integrate attraverso endpoint, network, email e cloud, consentendo una detection e response più efficaci degli attacchi sofisticati che utilizzano tecniche multi-vettore.

Collaborazione Internazionale e risposta istituzionale

Iniziative Governative e coordinamento internazionale

La risposta istituzionale al cybercrime ha assunto una dimensione sempre più coordinata e strategica a livello internazionale. Nel gennaio 2025, il Dipartimento del Tesoro degli Stati Uniti ha sanzionato Beijing-based Integrity Technology Group Inc., citando il suo ruolo nell’abilitare le operazioni cyber del gruppo Flax Typhoon dal 2022 al 2023, particolarmente contro organizzazioni di telecomunicazioni, media e agenzie governative statunitensi (fonte).

L’esempio italiano del gennaio 2025 illustra perfettamente la dimensione geopolitica del cybercrime contemporaneo: un gruppo hacker pro-russo ha rivendicato la responsabilità di un cyberattacco contro siti web del governo italiano, inclusi ministeri, servizi pubblici e piattaforme di trasporto in città come Roma e Palermo (fonte). L’attacco è stato una risposta all’incontro della Premier Giorgia Meloni con il Presidente ucraino Volodymyr Zelenskyy, evidenziando come gli attacchi cyber siano diventati strumenti di pressione diplomatica.

Framework normativi emergenti

Cyber Resilience Act Europeo

Il Cyber Resilience Act, adottato nell’ottobre 2024 dal Consiglio Europeo, rappresenta l’ultimo sforzo politico per rendere più coerente il framework legislativo europeo esistente per la cybersecurity e per garantire che i prodotti con componenti digitali siano realizzati in modo sicuro attraverso la supply chain e il loro ciclo di vita (fonte).

CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act)

Negli Stati Uniti, il CIRCIA del 2022 rappresenta una svolta nel requisito di reporting degli incidenti cyber per le infrastrutture critiche, stabilendo tempistiche specifiche e metodologie standardizzate per la notifica degli incidenti alle autorità competenti.

Operazioni Law Enforcement coordinate

Takedown Operations

L’FBI ha chiuso 13 marketplace DDoS-for-hire nella prima metà del 2023 (fonte). Similarmente, nel luglio 2024, le autorità del Regno Unito hanno interrotto DigitalStress, un servizio illegale per lanciare attacchi DDoS.

Queste operazioni coordinate dimostrano l’efficacia della cooperazione internazionale nel contrastare l’infrastruttura criminale cyber. Il successo nel recupero di 63,7 bitcoin dal pagamento del riscatto Colonial Pipeline da parte del Dipartimento di Giustizia americano (fonte) illustra come le capacità forensi avanzate possano recuperare asset criminali anche in ecosistemi pseudonimi come le criptovalute.

Arresti e processi

L’arresto di Yaroslav Vasinskyi in Polonia nell’ottobre 2021 in connessione con l’attacco ransomware Kaseya (fonte), e la sua successiva estradizione negli Stati Uniti nel marzo 2022, rappresenta un precedente significativo per la cooperazione internazionale nell’perseguire cybercriminali transnazionali.

L’Ucraina ha giocato un ruolo particolare in questi sforzi di law enforcement, con l’arresto di membri del gruppo REvil e la collaborazione con autorità internazionali per smantellare infrastrutture criminali.

Diplomazia Cyber e deterrenza

Dialogo bilaterale

Dopo l’attacco Kaseya del 9 luglio 2021, il Presidente Biden ha chiamato il Presidente russo Putin, dichiarando successivamente alla stampa: “Gli ho reso molto chiaro che gli Stati Uniti si aspettano che quando un’operazione ransomware proviene dal suo territorio, anche se non è sponsorizzata dallo stato, ci aspettiamo che agiscano se gli forniamo informazioni sufficienti per agire su chi sia” (fonte).

Norme internazionali

Nel 2024, l’ONU ha adottato il primo trattato globale completo alla sua convenzione sul cybercrime (fonte), rappresentando un passo significativo verso la standardizzazione delle risposte internazionali al cybercrime.

Iniziative di Capacity Building

Programma cyber dell’Ucraina

Per aiutare a proteggere l’infrastruttura critica ucraina contro gli attacchi russi, il Regno Unito ha lanciato il ‘Ukraine Cyber Programme’ nel 2022 (fonte). Il Regno Unito ha mobilitato un pacchetto iniziale di 6,35 milioni di sterline in risposta all’aumentata attività cyber russa immediatamente dopo l’invasione dell’Ucraina.

Questo programma fornisce incident response per proteggere le entità del governo ucraino contro gli attacchi, oltre a protezione DDoS così che i cittadini ucraini possano ancora accedere a informazioni critiche e firewall per bloccare gli attacchi.

Pubblico-privato partnership

Joint Cyber Defense Collaborative (JCDC)

CISA ha stabilito il Joint Cyber Defense Collaborative (JCDC) per catalizzare una comunità di esperti in prima linea nella difesa cyber – dal settore pubblico e privato – per condividere insights e informazioni in tempo reale per comprendere le minacce e ridurre il rischio per la nazione (fonte).

Dal suo stabilimento, il JCDC ha guidato la risposta nazionale a una delle vulnerabilità software più estese mai scoperte, ha giocato un ruolo centrale nella campagna Shields Up di CISA per proteggere l’infrastruttura critica da potenziali cyberattacchi russi, e ha riunito più di 25 principali operatori di pipeline e partner di sistemi di controllo industriale per rafforzare le pratiche di sicurezza.

Intelligence Sharing e Threat Intelligence

Programmi di Intelligence Sharing

L’espansione di programmi come il CISA’s vulnerability scanning service, che invia alert alle organizzazioni iscritte quando il servizio identifica vulnerabilità note per essere sfruttate da APT (fonte), rappresenta un evoluzione significativa nella condivisione proattiva di intelligence.

Attribution e Naming Conventions

La standardizzazione delle convention di naming per gruppi APT attraverso organizzazioni come MITRE ATT&CK, Mandiant e Microsoft ha migliorato la capacità della comunità di sicurezza di condividere intelligence actionable e coordinarsi nelle response.

Previsioni e Scenari Futuri

Evoluzione del Threat Landscape

I leader di sicurezza anticipano un panorama di minacce sempre più complesso nel 2025, con il 54% delle grandi organizzazioni che cita le sfide della supply chain come la maggiore barriera alla resilienza cyber (fonte). Questa complessità è guidata dall’interdipendenza crescente dei sistemi digitali e dalla convergenza di minacce tradizionalmente separate.

Il World Economic Forum’s Global Cybersecurity Outlook 2025 rivela che quasi il 60% delle organizzazioni afferma che le questioni geopolitiche influenzano la loro strategia di cybersecurity, con CEO preoccupati per lo spionaggio cyber e il furto di proprietà intellettuale, mentre i leader cyber si concentrano sull’interruzione delle operazioni (fonte).

Intelligenza artificiale: la nuova frontiera

Il 2025 sarà probabilmente l’anno dell’AI agentica, con strumenti di AI agentica (o agenti AI) che possono prendere decisioni ed eseguire una serie di compiti complicati per conto dell’utente (fonte). Questa evoluzione trasformerà l’AI generativa da un “giocattolo divertente” in un’applicazione automatizzata con implicazioni profonde sia per l’attacco che per la difesa.

L’Hao Yang, VP di intelligenza artificiale presso Cisco-owned Splunk, spiega: “In precedenza, eravamo concentrati su assistenti AI che potevano rispondere a prompt o input da un utente. Ora stiamo guardando a strumenti di AI agentica che possono prendere decisioni e portare avanti una serie di compiti complicati per conto dell’utente” (fonte).

Minacce quantistiche: l’orizzonte della crittografia

Forse la minaccia a lungo termine più significativa identificata per il 2025 è l’avanzamento delle capacità di quantum computing (fonte). Mentre i computer quantistici potrebbero rivoluzionare molti campi, pongono anche rischi esistenziali per i metodi crittografici attuali che proteggono l’infrastruttura digitale globale.

Le organizzazioni devono iniziare a preparare le transizioni verso algoritmi post-quantici per proteggere i dati sensibili a lungo termine. Questa transizione richiederà anni di pianificazione e implementazione graduale, rendendo essenziale iniziare i preparativi ora.

Geopolitica cyber: tensioni Crescenti

Minacce State-Sponsored

La U.S.## Settori Verticali: Analisi per Industria

Settore sanitario: target privilegiato dell’ecosistema criminale

Il settore sanitario continua a rappresentare il target più popolare per gli attacchi ransomware nel 2023 (fonte), evidenziando una vulnerabilità sistemica che ha implicazioni critiche per la sicurezza pubblica. L’Healthcare Industry Cybersecurity Report rivela che dal 2016, gli attacchi ransomware hanno causato perdite totali di 157 milioni di dollari ai fornitori sanitari negli Stati Uniti (fonte).

Le statistiche del settore sanitario presentano un quadro particolarmente preoccupante: si stima che nel 2019 gli attacchi ransomware abbiano costato all’industria sanitaria 25 miliardi di dollari. L’8% delle richieste di violazione dati nel settore sanitario è stato innescato da attacchi ransomware (fonte), evidenziando come questa tipologia di attacco rappresenti una componente significativa del panorama delle minacce sanitarie.

Per il tredicesimo anno consecutivo, l’industria sanitaria ha riportato le violazioni dati più costose, con un costo medio di 10,93 milioni di dollari secondo IBM (fonte). Nel 2020, 560 strutture sanitarie sono state colpite da attacchi ransomware in 80 incidenti separati, mentre gli attacchi ransomware che colpiscono le organizzazioni di erogazione sanitaria sono raddoppiati dal 2016 al 2021.

I tempi e i costi di recupero nel settore sanitario variano significativamente: in media, il 64,8% dei dati sanitari è stato ripristinato dopo aver pagato il riscatto (fonte). Tuttavia, i costi di recupero sono sostanziali: 1,58 milioni di dollari per l’istruzione inferiore e 1,42 milioni di dollari per l’istruzione superiore, con processi di ripristino che possono richiedere mesi.

Settore manifatturiero: la vulnerabilità dell’automazione

Il settore manifatturiero è emerso come il più vulnerabile agli attacchi cyber, con punteggi di rischio cyber inferiori dell’11,7% rispetto alla media globale secondo Cowbell (fonte). Questa vulnerabilità è principalmente attribuibile alla dipendenza crescente dall’automazione e alla sensibilità della proprietà intellettuale che caratterizza il settore.

Le aziende manifatturiere con fatturato superiore a 50 milioni di dollari hanno probabilità 2,5 volte maggiori di subire incidenti cyber rispetto ad organizzazioni più piccole (fonte). Questa correlazione riflette sia la maggiore superficie di attacco delle grandi organizzazioni sia la loro attrattività come target per cybercriminali motivati finanziariamente.

Il settore manifatturiero è particolarmente esposto agli attacchi alla supply chain, rappresentando uno dei 22 settori colpiti nei primi cinque mesi del 2025 secondo l’analisi Cyble (fonte). Solo i settori Mining e Real Estate sono rimasti intoccati dagli attacchi supply chain in questo periodo.

Settore educativo: l’escalation degli attacchi

Le istituzioni educative stanno affrontando un’escalation drammatica degli attacchi cyber. Secondo Cowbell, gli attacchi contro le istituzioni educative sono aumentati del 70% nell’ultimo anno (fonte), riflettendo la crescente attenzione dei cybercriminali verso infrastrutture tradizionalmente considerate “soft target”.

Il report Verizon evidenzia che l’istruzione, che ha rappresentato il 30% delle violazioni dati nel 2022, ha sperimentato un aumento significativo degli attacchi ransomware, risultando in 1.241 incidenti di violazione dati (fonte). Di questi attacchi, 282 hanno confermato perdita o divulgazione di dati.

La distribuzione degli attacchi nel settore educativo mostra pattern specifici: gli attacchi all’istruzione inferiore (56%) e superiore (64%) sono aumentati, con attori di minaccia esterni che causano il 75% delle violazioni, mentre il 25% proviene da fonti interne (fonte).

Nonostante quasi la metà di coloro che sono stati attaccati abbia pagato il riscatto per recuperare i propri dati, solo il 2% ha ottenuto indietro tutti i dati, evidenziando l’inefficacia del pagamento come strategia di recupero.

Settore finanziario: sofisticazione e persistenza degli attacchi

Il settore finanziario/banking rappresenta il principale utilizzatore finale della sicurezza IT in Italia (fonte), seguito dal settore delle utility. Questa prioritizzazione riflette tanto la criticità dell’infrastruttura finanziaria quanto la sua attrattività per gli attaccanti.

Il settore finanziario è stato identificato come il più targetizzato nei tentativi di phishing, con un aumento del 58,2% nel 2023 secondo Z Scaler (fonte). Questa concentrazione di attacchi riflette il valore intrinseco dei dati finanziari e l’accesso diretto alle risorse monetarie che caratterizza questo settore.

L’analisi CyberEdge rivela che le aziende di servizi finanziari sono considerate a maggior rischio di subire cyberattacchi nei prossimi 12 mesi, evidenziando una percezione di vulnerabilità elevata tra gli operatori del settore (fonte).

Pubblica amministrazione: obiettivi geopolitici

La pubblica amministrazione e i servizi educativi affrontano rischi elevati, particolarmente da attacchi ransomware (fonte). Nel marzo 2025, le agenzie governative hanno rappresentato il 47% dei target primari dei gruppi APT, seguite da organizzazioni e individui che rappresentano il 16% (fonte).

Gli attacchi contro la pubblica amministrazione spesso hanno motivazioni geopolitiche oltre che finanziarie. L’esempio dell’attacco ai siti web del governo italiano nel gennaio 2025, rivendicato da un gruppo hacker pro-russo come risposta all’incontro della Premier Meloni con il Presidente ucraino, illustra perfettamente questa dimensione geopolitica (fonte).

Settore delle telecomunicazioni: infrastruttura critica sotto assedio

Il settore delle telecomunicazioni rappresenta un target strategico privilegiato per gli attaccanti, come evidenziato dalla campagna Salt Typhoon che ha colpito almeno 8 fornitori di telecomunicazioni statuniteniti (fonte). Questo settore è particolarmente vulnerabile perché fornisce l’infrastruttura di comunicazione critica di cui dipendono tutti gli altri settori.

Gli attacchi alle telecomunicazioni hanno spesso implicazioni che vanno oltre il danno immediato, potendo compromettere le comunicazioni nazionali e facilitare operazioni di spionaggio su larga scala. Il caso Salt Typhoon ha dimostrato come gli attaccanti possano acquisire accesso ai sistemi di intercettazione legale, compromettendo potenzialmente la sicurezza nazionale.

Analisi intersettoriale: pattern emergenti

L’analisi intersettoriale rivela pattern comuni che trascendono i confini industriali:

Convergenza delle minacce

Tutti i settori stanno sperimentando una convergenza delle minacce, dove attacchi tradizionalmente mirati a specifiche industrie si stanno diffondendo orizzontalmente. Gli attacchi supply chain, in particolare, dimostrano come una compromissione in un settore possa av# Cybercrime: Ultimi Accadimenti nel Mondo – Analisi Tecnica per Professionisti della Sicurezza Informatica

Sommario esecutivo

Il panorama del cybercrime nel 2025 si caratterizza per un’escalation senza precedenti in termini di sofisticazione, frequenza e impatto economico. I costi globali del cybercrime sono destinati a raggiungere i 10,5 trilioni di dollari annui entro il 2025, con una proiezione di crescita fino a 15,63 trilioni di dollari entro il 2029. Questa crescita esponenziale riflette non solo l’aumento numerico degli attacchi, ma anche la loro crescente complessità e l’integrazione di tecnologie emergenti come l’intelligenza artificiale.

Fonti:

Center for Strategic and International Studies (CSIS) – Significant Cyber Incidents.

AAG IT Support – Latest Cyber Crime Statistics.

Bright Defense – Cybercrime Statistics for 2025.

SentinelOne – Key Cyber Security Statistics for 2025.

Sophos – The State of Ransomware 2025.

CrowdStrike – 2025 Global Threat Report.

FBI – Cyber Crime News and Press Releases.

Palo Alto Networks Unit 42 – Ransomware Trends 2025.

Cybersecurity and Infrastructure Security Agency (CISA).

World Economic Forum – Global Cybersecurity Outlook 2025.

Associazione Italiana per la Sicurezza Informatica (CLUSIT).

National Cybersecurity Centre (NCSC) UK.

https://www.ictsecuritymagazine.com/articoli/analisi-intersettoriale/

Il furto di foto di bambini dai social media per creare truffe solidali false rappresenta una delle forme di criminalità digitale più insidiose e in crescita esponenziale. Nel 2024, la Polizia Postale italiana ha registrato 181 milioni di euro sottratti attraverso truffe online, con un aumento del 32% rispetto all’anno precedente. Questo fenomeno, noto come digital kidnapping o rapimento digitale, combina furto di identità, frode finanziaria e sfruttamento dell’immagine dei minori, causando danni economici devastanti e gravi violazioni dei diritti dei bambini.

Le statistiche globali rivelano che l’84% dei casi di rapimenti di bambini sono facilitati attraverso i social media, mentre il 90% dei bambini ha una presenza online entro i 2 anni di età. Questa massiccia esposizione digitale, combinata con l’inconsapevolezza dei genitori sui rischi del sharenting (condivisione compulsiva di foto dei figli), crea un ambiente fertile per i criminali informatici.

Come funziona il digital kidnapping

I truffatori utilizzano tecniche sofisticate per appropriarsi illegalmente delle foto dei bambini. Il processo inizia con lo scraping automatico attraverso bot programmati per raccogliere massivamente immagini da profili pubblici, seguito dall’hacking diretto di account social per accedere a contenuti privati. Nel dark web, gli account hackerati vengono venduti a partire da 35 dollari, facilitando l’accesso a migliaia di foto personali.

Una volta ottenute le immagini, i criminali creano false campagne solidali utilizzando modelli standardizzati. Copiano fundraiser autentici, si appropriano di loghi di ONG riconosciute come Save the Children e UNICEF, e costruiscono narrazioni emotive false su malattie terminali, povertà estrema o disastri naturali. Facebook, Instagram e TikTok risultano le piattaforme più vulnerabili, con TikTok che registra il 68,2% di bambini sotto i 13 anni attivi sulla piattaforma.

La diffusione avviene attraverso reti coordinate di account falsi che condividono simultaneamente le stesse campagne, sfruttando hashtag trending come #SaveTheChildren per amplificare la visibilità. I truffatori creano falsi sensi di urgenza con messaggi come “ultimi giorni per donare” e sfruttano strategicamente eventi di attualità come pandemie e disastri naturali per massimizzare l’impatto emotivo.

Casi reali di digital kidnapping e impatto economico devastante

Durante l’emergenza COVID-19, la Polizia Postale di Roma ha denunciato due persone per aver organizzato raccolte fondi fraudolente per gli ospedali Spallanzani e San Camillo, utilizzando foto di bambini per aumentare l’impatto emotivo delle campagne. Il Commissariato di P.S. Online ha ricevuto 82.000 segnalazioni nel 2024, con 23.000 richieste di assistenza specificamente legate a truffe online.

A livello internazionale, dopo il crollo del condominio Surfside in Florida, oltre 20 campagne GoFundMe sono state identificate come fraudolente, utilizzando foto e storie rubate di vittime reali. Nel Regno Unito, sette persone sono state condannate per una frode organizzata che ha rubato centinaia di migliaia di sterline a enti di beneficenza per bambini, inclusi Children in Need e Great Ormond Street Hospital.

Le piccole donazioni vanno dai 10 ai 50 euro per singola transazione, ma le campagne di successo possono raccogliere tra 5.000 e 50.000 euro. Le organizzazioni criminali più sofisticate arrivano a sottrarre fino a 16 milioni di euro attraverso reti complesse di false campagne coordinate.

Riconoscere le truffe solidali false

Esistono segnali di allarme chiari che permettono di identificare queste truffe. Le storie sono spesso troppo emotive con foto e video scioccanti, accompagnate da richieste di denaro urgenti con frasi come “serve aiuto subito”. I dettagli medici risultano spesso falsi o copiati da altre fonti, mentre le informazioni sull’uso effettivo del denaro raccolto rimangono vaghe.

Altri indicatori includono gruppi Facebook creati di recente specificamente per la campagna, dati bancari non verificabili, e l’assenza di codice fiscale o partita IVA dell’ente benefico. Le campagne legitimate hanno sempre trasparenza totale sui fondi raccolti e sulle spese sostenute, oltre a essere verificabili attraverso i media tradizionali.

Per verificare l’autenticità di una campagna, è essenziale controllare l’esistenza reale dell’ente benefico, cercare notizie sulla vicenda sui media tradizionali, e consultare i siti ufficiali delle ONG per confermare eventuali partnership. La consultazione del sito della Polizia Postale (commissariatodips.it) può rivelare se una specifica campagna è già stata segnalata come truffa.

Proteggere le foto dei bambini online

La prevenzione rappresenta l’arma più efficace contro il digital kidnapping. Le impostazioni privacy sui social media devono essere configurate rigorosamente. Su TikTok, gli account devono essere obbligatoriamente privati per minori tra 13-15 anni, con la funzione “Collegamento familiare” che permette di impostare limiti di tempo e attivare la modalità limitata per filtrare contenuti inappropriati.

Per Instagram e Facebook, è essenziale impostare account privati, attivare filtri automatici per commenti, limitare i messaggi diretti ai soli amici e richiedere approvazione manuale per tutti i tag. Mai pubblicare foto con bambini nudi o in situazioni intime, e utilizzare sempre emoji o effetti blur per nascondere i volti quando necessario.

I genitori devono evitare di condividere informazioni identificative come nome, età, scuola e abitazione. Il consenso di entrambi i genitori è obbligatorio per legge per pubblicare foto di minori, mentre l’età del consenso digitale in Italia è fissata a 14 anni secondo il GDPR.

Strumenti tecnologici avanzati per la protezione

Il watermarking digitale rappresenta una protezione fondamentale. Le filigrane visibili con nome o logo sovrapposti all’immagine, posizionate strategicamente al centro per massima protezione, rendono le foto inutilizzabili per scopi fraudolenti. Strumenti gratuiti come Canva, GIMP e Photoshop permettono di applicare facilmente questi sistemi di protezione.

Tecnologie più avanzate includono Glaze (filigrana invisibile anti-AI sviluppata dall’Università di Chicago), Nightshade (che altera pixel contro training AI), e Kudurru (blocca scraper automatici). La ricerca inversa attraverso Google Images e TinEye permette di monitorare la diffusione delle immagini online e identificare usi non autorizzati.

Il controllo parentale deve essere implementato attraverso software specializzati come Kids Place, Family Link di Google e Screen Time di Apple. Filtri a livello di router possono bloccare siti inappropriati per tutta la rete domestica, mentre antivirus famiglia offrono protezione integrata per tutti i dispositivi.

Aspetti legali e conseguenze penali per il digital kidnapping

Il quadro normativo italiano prevede severe sanzioni per chi commette questi reati. L’articolo 494 del Codice Penale punisce la sostituzione di persona, mentre l’articolo 640 disciplina la truffa con reclusione da 6 mesi a 3 anni. Il D.Lgs. 196/2003 stabilisce il reato di trattamento illecito di dati personali per la pubblicazione non autorizzata di foto di bambini.

Le sanzioni prevedono reclusione da 6 mesi a 3 anni per il furto di foto di minori, con obbligo di risarcimento danni e multa da 51 a 1.032 euro. Per le truffe solidali false, la pena può arrivare fino a 5 anni di reclusione e multa fino a 1.549 euro, mentre la frode informatica è punita con reclusione da 2 a 6 anni.

Il Garante Privacy può comminare sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo secondo il GDPR. La Cassazione Penale ha stabilito precedenti importanti, confermando che creare profili social con foto altrui integra il reato di sostituzione di persona.

Segnalazione e denuncia digital kidnapping immediata

La segnalazione tempestiva è cruciale per limitare i danni. Il Commissariato di P.S. Online (commissariatodips.it) offre un servizio specifico per segnalazioni di reati informatici, mentre l’app YouPol permette segnalazioni immediate con foto e video. La documentazione necessaria include screenshot dei contenuti illeciti, codici identificativi dei profili social e cronistoria dettagliata dei fatti.

Telefono Azzurro (19696) offre supporto per situazioni di emergenza, mentre il Garante Privacy interviene per violazioni specifiche della privacy dei minori. Le Procure specializzate in criminalità informatica e i Tribunali per i Minorenni gestiscono i casi più complessi che coinvolgono minori.

I diritti delle vittime includono il risarcimento danni, la rappresentanza legale attraverso genitori o tutori, e l’assistenza legale gratuita per famiglie prive di mezzi economici. I bambini hanno diritto specifico alla riservatezza, alla protezione dell’immagine e al diritto all’oblio per la cancellazione dei contenuti.

Conclusioni: educare per proteggere

Il digital kidnapping rappresenta una minaccia crescente che richiede consapevolezza, prevenzione e azione coordinata. La combinazione di educazione digitale, strumenti tecnologici avanzati e applicazione rigorosa delle normative esistenti può proteggere efficacemente i bambini da queste forme di sfruttamento.

I genitori devono essere i primi responsabili della protezione digitale dei propri figli, mantenendo equilibrio tra libertà e sicurezza. L’educazione all’uso consapevole della tecnologia, unita a impostazioni privacy appropriate e controllo parentale attivo, rappresenta la migliore difesa contro i criminali informatici.

La cooperazione internazionale tra autorità, piattaforme tecnologiche e organizzazioni per la protezione dei minori è essenziale per combattere efficacemente questo fenomeno globale. Solo attraverso un approccio multidisciplinare che combina prevenzione, educazione e repressione potremo proteggere i nostri bambini nell’era digitale.

Fonti:

Polizia Postale – Commissariato di P.S. Online.

Polizia di Stato – Rapporto C3 Combating Cyber Crime 2024.

Garante Privacy – Sharenting e protezione minori.

Ministero delle Imprese e del Made in Italy – 9 consigli per difendersi dalle truffe.

University of California San Francisco – Studio TikTok e Minori 2025. Ricerca su utilizzo social media da parte di minori sotto i 13 anni.

UNICEF Italia – Tutto sullo Sharenting.

UNICEF – Online Privacy Checklist for Parents. Lista di controllo per la privacy online dei minori.

ParentMap – Digital Kidnapping: What It Is and How to Keep Your Kids Safe.

Crown Prosecution Service UK – Fraud gang jailed after stealing charity donations.

U.S. Department of Justice – Charity Founders Sentenced to Prison.

Studio Legale Calvello – Garante Privacy: stop alle foto di minori sui social.

Brocardi.it – Art. 640 Codice Penale – Truffa.

Legal for Digital – Creare profili fake sui social: quando è reato.

https://www.ictsecuritymagazine.com/notizie/digital-kidnapping/

Bitdefender warns that a Meta malvertising campaign has expanded to Android phones. The research discovered malicious ads that offer a free TradingView Premium app for Android. Rather than leading users to a legitimate software, however, these ads take victims to a sophisticated crypto-stealing trojan, which the research describes as “an evolved version of the Brokewell malware.” 

The research’s most recent analysis revealed the campaign remains active and has leveraged at least 75 malicious ads since mid-July. As of August 22nd, 2025, the ads have reached tens of thousands of users in the European Union. 

The malware installed is more than a credential stealer. Instead, it is a spyware and remote access trojan (RAT) with capabilities that include: 

• Two-factor authentication bypass
  
• Account takeover
• Remote control 
• Surveillance
• SMS interception
• Crypto theft

The research asserts that this campaign is “one of the most advanced Android threats seen in a malvertising campaign to date.”
 

https://www.securitymagazine.com/articles/101873-malicious-actors-spread-malware-via-metas-advertising-system

Che giornata è stata quest’ultimo fresco venerdì di agosto.
I nostri occhi sono andati subito sul 1^ indice di Sovranità Digitale, perché – come ormai sapete – è un tema che ci sta molto a cuore.
Purtroppo, abbiamo scoperto il 30esimo posto dell’Italia su 57 Paesi analizzati. Con il report apriamo questa Dailyletter.
Un rapporto che arriva all’indomani della nuova minaccia di Trump: “super dazi per tutti i Paesi in cui esistono tasse, leggi e regolamenti per le piattaforme digitali americane”.
Gli Stati Uniti ci vedono così. Mentre i Governi e la maggioranza delle PA europee restano ancora ciechi, non riescono ancora ad avviare una transizione alle tecnologie europee. È la sindrome di Stoccolma: la vittima prova affetto per l’aggressore…
Infine, chiudiamo con una bella storia. Il sogno di Michaela Benthaus è realtà: sarà la prima astronauta in sedia a rotelle nello Spazio.

Leggi tutte le notizie della nostra dailyletter

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/indipendenza-digitale-italia-solo-30esima-su-57-paesi/544210/

The Cybersecurity & Infrastructure Security Agency (CISA), in conjunction with other authoring and co-sealing agencies, has released a Cybersecurity Advisory (CSA) about  Chinese state-sponsored threat actors. These threat actors are targeting networks globally, including but not limited to: 

Though the list is not holistic, the advisory also details the threat groups related to this activity: 

Cybersecurity leaders should prioritize certain CVEs due to the precedent of exploitation on exposed network edge devices, particularly by the mentioned threat actors, the advisory warns. The CVEs include: 

• CVE-2024-21887
• CVE-2024-3400
• CVE-2023-20273
• CVE-2023-20198
• CVE-2018-0171

In order to target telecommunications and network service providers, the threat actors exploit infrastructure that has not been attributed to publicly known botnets or obfuscation network infrastructure. To ensure persistent access to victim networks, the threat actors utilize a range of tactics, many of which can obscure their source IP address in system logs. 

Yet, the initial access vector is an information gap for CISA and the parties seeking to understand the scope, scale and impact of this activity. 

https://www.securitymagazine.com/articles/101872-cisa-releases-ttps-of-chinese-state-sponsored-threat-actors

Infrastrutture energetiche europee troppo esposte alle minacce ibride

Le infrastrutture energetiche europee, tra cui i cavi sottomarini, i gasdotti e le centrali, possono essere colpite in qualsiasi momento da attacchi ibridi. Non è che serve individuare il possibile nemico, la guerra è alle porte a Est e in Medio Oriente e la faglia critica tra il blocco occidentale e quello asiatico passa proprio lungo i confini orientali dell’Unione europea (Ue).

Tra i possibili responsabili si pensa ovviamente alla Russia e suoi alleati. Dall’inizio della guerra in Ucraina abbiamo sentito e letto di numerosi attacchi che prendono di mira cavi elettrici e gasdotti nel Mar Baltico, sempre attribuiti direttamente o indirettamente a Mosca (coinvolgimento non sempre dimostrato da prove inconfutabili, vedi come sta andando il caso del sabotaggio al gasdotto Nord Stream), che hanno messo in luce profonde vulnerabilità nel cuore del sistema energetico del continente.

Secondo Jean-Charles Ellermann-Kingombe, assistente del Segretario Generale della NATO, nel giugno 2025, non si tratta di un’ipotesi, ma di una minaccia concreta: “L’invasione russa dell’Ucraina mostra chiaramente che le infrastrutture energetiche europee sono un obiettivo prioritario per la Russia“.

Eppure, nonostante la propaganda di guerra, gli interessi economici che ruotano attorno a questo ricco mercato e una pur obbligata consapevolezza della minaccia, si legge nella pubblicazione dello European Union Institute for security studies (Euiss), dal titolo “On a war footing: Securing critical energy infrastructure”, di fatto, le vulnerabilità del nostro sistema energetico esistono e persistono.

Le infrastrutture critiche affrontano non solo debolezze strutturali, ma anche crescenti rischi geopolitici, in particolare nella rete di trasmissione offshore e subacquea. Finché questa situazione non cambierà, l’Unione europea rimarrà sotto la costante minaccia di attacchi a basso rischio, con potenziali serie conseguenze dal punto di vista civile, economico e finanziario.

Un sistema obsoleto e vulnerabile, superare l’efficienza a breve termine

A partire dalle minacce sopra esposte, passando per i disastri naturali spesso innescati dall’estremizzazione del nostro clima e il dissesto idrogeologico dei territori, pochi oggi metterebbero in discussione la necessità di infrastrutture energetiche resilienti, che si tratti di centrali elettriche, gasdotti o cavi sottomarini.

La normativa dell’Ue in materia di sicurezza dell’approvvigionamento riconosce il pericolo degli attacchi e la Preparedness Union del marzo 2025 propone misure reattive, come lo stoccaggio di attrezzature per la riparazione e una maggiore cooperazione con la NATO.
Tuttavia, queste soluzioni, secondo l’analisi proposta da Caspar Hobhouse dell’Uiss, seppur utili, non risolvono il problema alla radice.

Le vulnerabilità del sistema attuale sono profonde e derivano da un approccio storico alla pianificazione e alla costruzione delle infrastrutture che ha privilegiato l’efficienza a breve termine, trascurando la sicurezza e i rischi geopolitici. Questo modo di pensare ha portato a due sfide principali.

La prima è la minaccia fisica. Dal 2022, secondo quanto riportato dal documento dell’Istituto europeo, diversi incidenti hanno visto cavi sottomarini tranciati da navi affiliate alla Russia. Nel dicembre 2024, il peschereccio Eagle S, appartenente a una “flotta ombra” russa, è stato fermato dalle autorità finlandesi dopo aver danneggiato EstLink 2, un cruciale interconnettore elettrico tra Finlandia ed Estonia.
La nave era equipaggiata con hardware di rilevamento di grado militare, a testimonianza di un attacco deliberato e premeditato. Questo non è un caso isolato, ma parte di una strategia russa volta a minare la sicurezza energetica europea, replicando le tattiche usate in Ucraina contro centrali e linee di trasmissione.

La seconda sfida è l’urgente necessità di modernizzare ed espandere la rete elettrica. Con un’età media di 40 anni, la rete europea necessita di investimenti massicci. La transizione energetica, con l’espansione dell’eolico offshore e del solare, sta alterando la geografia della produzione energetica. Questo richiede un ripensamento fondamentale su dove e come l’elettricità viene generata e trasmessa.

Rafforzare la sicurezza dei cavi sottomarini, ma la difesa militare non è sufficiente

La proposta della Commissione europea per rafforzare la sicurezza dei cavi sottomarini, presentata nel febbraio 2025, si concentra principalmente su soluzioni reattive:

• rinforzo dei cavi: anche i cavi corazzati possono essere penetrati da strumenti più sofisticati o sabotati con esplosivi, come nel caso del gasdotto Nord Stream.
• seppellimento dei cavi: sebbene offra maggiore protezione, è un processo tecnicamente difficile, costoso e ambientalmente dannoso. Inoltre, rende più complicate le riparazioni.
• sorveglianza rafforzata: è essenziale, ma richiede risorse considerevoli e non è un deterrente sufficiente in caso di attacco su larga scala.
• riparazioni più rapide: ridurrebbero l’impatto dei danni, ma un attacco coordinato potrebbe sopraffare la capacità di riparazione esistente. Le conseguenze economiche, come il quasi raddoppio dei prezzi dell’elettricità dopo il danneggiamento di EstLink 2, sono enormi.

Difendere militarmente le infrastrutture è una battaglia in salita. La “flotta ombra” russa conta oltre 1.000 imbarcazioni, mentre la forza militare congiunta incaricata della difesa nel Baltico, nel giugno 2024, contava solo 28 navi. Le soluzioni reattive, in sostanza, non sono strutturalmente sufficienti a garantire la sicurezza.

Resilienza “By Design”: pianificazione e progettazione

Per affrontare la minaccia in modo efficace, il sistema energetico europeo deve essere resiliente fin dalla sua progettazione. Un sistema del genere dovrebbe avere una maggiore interconnessione, una trasmissione ibrida flessibile e molteplici punti di connessione diffusi. La chiave è una pianificazione spaziale coordinata, che integri i criteri di sicurezza fin dall’inizio.

Attualmente, la pianificazione energetica a livello Ue è frammentata. Diverse direttive e piani si sovrappongono senza una visione d’insieme chiara che consideri la sicurezza fisica. La complessità è ulteriormente aggravata dal fatto che l’energia rimane una competenza nazionale, con 27 approcci diversi.

Una pianificazione spaziale coerente offrirebbe tre vantaggi principali:

1. processo unificato: permetterebbe di integrare il parere di diverse agenzie, incluse quelle militari, fin dalle prime fasi. Questo velocizzerebbe progetti strategici e creerebbe percorsi di investimento più chiari.
2. unificazione dei settori: riconoscerebbe l’interdipendenza tra elettricità, gas e idrogeno. Un guasto in un settore può bloccare gli altri, come dimostrato dall’interruzione delle operazioni dei terminal GNL in Spagna a seguito di un blackout.
3. maggiore efficienza: consentirebbe di posizionare le infrastrutture e la capacità di generazione dove sono più efficienti, creando un sistema energetico continentale ottimizzato.

L’obiettivo finale: più infrastrutture di prossimità, maggiore interconnessione e una rete a maglie fitte di cavi sottomarini

La pianificazione spaziale è il mezzo. L’obiettivo finale è costruire molte più infrastrutture energetiche, e farlo in fretta. Un numero limitato di punti di connessione sarà sempre un facile bersaglio per un attore ostile.

La sicurezza energetica europea dipende dalla produzione domestica. Una soluzione proposta, come delineato nello studio Pathway 2.0, è la creazione di una rete a maglie fitte di cavi sottomarini di minor valore. Questo permetterebbe ai singoli parchi eolici di connettersi a più hub e di collegarsi tra loro, consentendo di reindirizzare l’elettricità se un cavo venisse interrotto.

Inoltre, espandere le interconnessioni più piccole in più località, anziché fare affidamento solo su grandi connessioni transfrontaliere, e incoraggiare progetti energetici locali, aumenterebbe la resilienza creando migliaia di punti di connessione critici.

La guerra ibrida sarà sempre più cyber

Quando si parla di attacchi ibridi, infine, è bene ricordare che i cyber attacchi sono una componente fondamentale e centrale. L’espressione “guerra ibrida” si riferisce a una strategia di conflitto che combina metodi convenzionali e non convenzionali, militari e non militari, con l’obiettivo di destabilizzare e indebolire un avversario senza ricorrere a una guerra aperta e dichiarata.

I cyber attacchi sono diventati uno degli strumenti più efficaci e “a basso rischio” nella cassetta degli attrezzi della guerra ibrida. Sono rapidi, potenti e offrono la possibilità di colpire a distanza, senza il dispiegamento di truppe o armamenti convenzionali, ma con un impatto potenziale devastante sulla società e sull’economia del paese bersaglio.

Non serve che la Russia e la Cina (o altri Paesi magari oggi nostri alleati) inviino caccia e navi da guerra per colpire in profondità infrastrutture energetiche e gettare nel panico cittadini, imprese e mercati.

Space & Underwater, il videoreportage della 1^ edizione della Conferenza internazionale dedicata ai domìni Spazio e Subacqueo, promossa e organizzata dal giornale Cybersecurity Italia.
La 2^ edizione si terrà il 3 dicembre 2025.

[embedded content]

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/sicurezza-energetica-europea-resilienza-by-design-piu-interconnessioni-e-maglie-fitte-di-cavi-sottomarini/544188/