Nella seconda metà del 2025iil 70% dell’attività ransomware a livello globale ha preso di mira le aziende dei principali paesi anglofoni. A rivelarlo è il più recente rapporto OT & IoT Security di Nozomi Networks Labs, secondo cui il 40% di tutti gli attacchi ransomware ha preso di mira aziende con sede negli Stati Uniti, mentre gli attacchi contro Canada e Regno Unito hanno rappresentato complessivamente il 30% degli attacchi ransomware.
L’aumento del numero e della scala degli attacchi sarebbe legato, secondo il rapporto, all’utilizzo sempre maggiore dell’AI generativa che rende le aziende di questi paesi il bersaglio ideale di attacchi sempre più precisi e potenzialmente dannosi.
A livello globale il settore dei trasporti è il più colpito, mentre in Italia il primato spetta al manifatturiero. Nel nostro Paese, i cyber criminali si concentrano sulla corruzione silenziosa dei dati operativi, creando minacce potenzialmente molto pericolose e difficili da rilevare.
Indice degli argomenti
Cybersecurity: l’Italia nel mirino della manipolazione dati e attacchi al manifatturiero
Il panorama delle minacce informatiche in Italia delinea un profilo di rischio atipico rispetto al trend globale anche per le modalità di attacco.
Mentre a livello internazionale prevalgono gli attacchi di tipo Adversary-in-the-Middle (AiTM) – una tecnica di cyber-attacco in cui un malintenzionato si inserisce segretamente tra due parti che comunicano tra loro –, nel nostro Paese la tecnica predominante è la Data Manipulation, responsabile di oltre il 25% degli alert rilevati.
La persistenza di questo fenomeno, già emerso nelle analisi precedenti, conferma come la manomissione dei dati non sia un evento isolato, ma una minaccia strutturale e costante per il sistema Paese, seguita per frequenza dai tentativi di Brute Force.
Una strategia che evidenzia un obiettivo preciso: la corruzione silenziosa delle informazioni operative. Alterando i dati, gli attaccanti possono indurre decisioni aziendali errate, attivare processi produttivi non sicuri o generare gravi non conformità normative.
Il rischio maggiore risiede nella latenza del danno: le conseguenze possono manifestarsi a valle con impatti devastanti, molto prima che l’integrità dei dati venga effettivamente messa in discussione.
Tra gli incidenti più rilevanti, nell’estate 2025 diversi hotel italiani sono stati compromessi in un attacco coordinato che ha portato al furto di decine di migliaia di documenti d’identità.
Il secondo settore più colpito in Italia è il settore dei trasporti, che invece detiene il primato di attacchi a livello mondiale.
Vulnerabilità delle reti wireless nei settori industriali
La ricerca evidenzia, a livello mondiale, un altro trend preoccupante per l’industria.
L’espansione della connettività wireless all’interno degli ambienti industriali e delle infrastrutture critiche avviene frequentemente in assenza di una progettazione dedicata, esponendo i sistemi a rischi strutturali spesso ignorati dai medesimi operatori.
I dati raccolti da Nozomi evidenziano una situazione critica in cui il 68% delle reti monitorate opera privo del protocollo Management Frame Protection (MFP), sebbene venga impiegata la crittografia moderna.
La sicurezza degli accessi risulta altrettanto fragile visto che appena il 2% delle organizzazioni adotta sistemi di autenticazione enterprise come lo standard 802.1X.
La quasi totalità delle infrastrutture osservate, pari al 98%, si affida esclusivamente all’autenticazione tramite Pre-Shared Key (PSK), confermandola come il modello prevalente nei contesti operativi.
L’adozione di credenziali condivise desta forte preoccupazione perché annulla la responsabilità individuale e permette un utilizzo prolungato delle password. Una volta compromesse le chiavi di accesso, distinguere tra un ingresso legittimo e un’intrusione diventa estremamente complesso.
Sebbene il sistema PSK sia funzionale per contesti pubblici o domestici, la sua applicazione risulta inadeguata per proteggere gli asset strategici delle imprese industriali.
Attacchi cyber, il settore dei trasporti sotto assedio: l’ombra della geopolitica sul settore pubblico
Nel corso del 2025, il settore dei trasporti si è consolidato come il bersaglio principale degli attacchi informatici a livello globale, seguito nella seconda metà dell’anno dai comparti manifatturiero e pubblico.
Il comparto pubblico, nello specifico, ha registrato una crescita esponenziale delle offensive tra il primo e il secondo semestre, un incremento direttamente correlato alle tensioni geopolitiche che hanno favorito l’attività di attori statali e gruppi di hacktivismo.
Un tratto distintivo degli attacchi alla Pubblica Amministrazione è la prevalenza delle tattiche di Discovery, il che suggerisce come molti gruppi criminali siano attualmente impegnati in una fase di esplorazione silente delle reti per mappare gli ambienti e preparare future operazioni su vasta scala.
Il panorama dei gruppi malevoli è dominato da Scattered Spider, responsabile da solo del 42,9% degli alert rilevati nella seconda parte dell’anno dopo un’estate di intensa attività.
Oltre a questa organizzazione, il report evidenzia una forte presenza di attori legati a interessi nazionali, tra cui spiccano i nordcoreani di Kimsuky, i russi di APT29 e gli iraniani di CURIUM, oltre al gruppo indipendente Mustard Tempest.
Alla luce di questi risultati e della persistente instabilità internazionale, le previsioni per il 2026 indicano che le operazioni cibernetiche connesse a Cina, Iran e Russia rappresenteranno la principale minaccia da monitorare per la sicurezza globale.
“Le infrastrutture critiche non hanno mai affrontato un panorama di minacce più pericoloso, e la scala e la gravità degli attacchi contro di esse non faranno che aumentare”, spiega Chris Grove, Director of Cybersecurity Strategy di Nozomi Networks.
“È imperativo per gli operatori comprendere l’attuale panorama delle minacce e preparare i propri sistemi di conseguenza. Devono stabilire una chiara visibilità degli asset, sfruttare sistemi di sicurezza basati sull’intelligenza artificiale per rilevare anomalie e minacce, dare priorità alla gestione delle vulnerabilità basata sul rischio e consentire la condivisione di intelligence per tenere il passo con le tattiche in evoluzione”, aggiunge.
